Nieuws
image

SolarWinds-ceo maakt excuses voor beschuldigen van stagiair

donderdag 20 mei 2021, 09:42 door Redactie, 6 reacties

SolarWinds-ceo Sudhakar Ramakrishna heeft tijdens de RSA Conferentie excuses gemaakt voor het beschuldigen van een stagiair tijdens een hoorzitting van het Amerikaanse Huis van Afgevaardigden en liet weten dat de aanvallers mogelijk al in januari 2019 het bedrijf waren binnengedrongen.

Op 13 december 2020 maakte SolarWinds bekend dat aanvallers toegang hadden gekregen tot de systemen van het bedrijf en updates voor het Orion-platform van een backdoor hadden voorzien. Een dag na deze aankondiging liet onderzoeker Vinoth Kumar weten dat hij SolarWinds op 19 november 2019 had gewaarschuwd dat het wachtwoord voor een ftp-server van het softwarebedrijf op een publiek toegankelijk GitHub-respository stond. Het wachtwoord was 'solarwinds123'

Tijdens een hoorzitting over de wereldwijde supply-chain-aanval via de software van SolarWinds kwam ook het gelekte wachtwoord te sprake. Volgens voormalig directeur Kevin Thompson was het een fout van een stagiair die in strijd met het wachtwoordbeleid handelde. Nadat SolarWinds dit ontdekte werd het wachtwoord online verwijderd. Ook de huidige directeur van SolarWinds, Ramakrishna, stelde dat het om een wachtwoord van een stagiair ging dat deze persoon op zijn eigen GitHub-account had geplaatst waar het voor iedereen toegankelijk was.

Uit e-mails tussen Kumar en SolarWinds blijkt dat de onderzoeker met het gelekte wachtwoord op de ftp-server kon inloggen en bestanden kon uploaden. Kumar waarschuwde dat een aanvaller zo het bedrijf met malware zou kunnen infecteren.

"Je wilt dat je medewerkers, waaronder stagiairs, fouten maken en van die fouten leren om samen beter te worden. Je wilt dezelfde fout natuurlijk niet blijven maken , maar je wilt vooruitgaan", aldus Ramakrishna. "Wat tijdens de hoorzitting plaatsvond, waarbij we de schuld bij een stagiair legden, was niet gepast, was niet hoe we zijn en is niet hoe we zijn. We hebben daarvan geleerd en ik wil duidelijk maken dat we een veilige omgeving zijn en het beste talent willen aantrekken en behouden."

SolarWinds liet eerder weten dat de aanvallers in september 2019 toegang tot de systemen hadden gekregen. Op 12 september voegden de aanvallers testcode toe aan de Orion-software van SolarWinds. Deze test, zoals SolarWinds het noemt, liep door tot 4 november 2019. Eind februari 2020 werd voor het eerst een backdoor aan een software-update voor het Orion-platform toegevoegd. Deze update werd in maart aan klanten aangeboden. Vervolgens werden nog een aantal updates aangepast, waarbij de laatste besmette update op 24 juni 2020 verscheen.

Recentelijk ontdekte SolarWinds dat de aanvallers mogelijk al sinds januari 2019 toegang tot de systemen hadden. Ramakrishna spreekt van zeer vroege verkenningsactiviteiten die in januari van dat jaar zijn waargenomen. "Wat verklaart waardoor ze konden doen wat ze in september 2019 deden", aldus de ceo.

Reacties (6)
20-05-2021, 12:10 door Anoniem
Je bent want je doet. Niet wie je zegt dat je bent.
Eerst de schuld aan de stagiair geven en dan zeggen dat je dat niet zou doen en niet doet, mooi verhaal.
20-05-2021, 12:37 door Anoniem
De stagiair heeft geleerd om SolarWinds MT niet te vertrouwen.
20-05-2021, 15:14 door Anoniem
Door Anoniem: De stagiair heeft geleerd om SolarWinds MT niet te vertrouwen.

hopelijk niet alleen de stagiair...
20-05-2021, 17:00 door Anoniem
Door Anoniem: Je bent want je doet. Niet wie je zegt dat je bent.
Eerst de schuld aan de stagiair geven en dan zeggen dat je dat niet zou doen en niet doet, mooi verhaal.

Dat heet "je fouten erkennen". Het is niet fraai dat het zo is gegaan, maar hij is tenminste mans genoeg om zijn fout publiekelijk te erkennen. Hij had ook zijn mond kunnen houden, zoals heel veel mensen doen waar ik in het verleden mee te maken heb gehad en die mij onterecht ergens van beschuldigden, zowel in de privésfeer als op het werk. Ik zal niet de enige zijn denk ik. Ik ken geen manager waar ik onder heb gewerkt die publiekelijk ooit heeft gezegd "sorry, maar ik zat er naar, je hebt gelijk, dit had ik niet moeten doen". Ik vind het een goede actie, al had het zover natuurlijk niet moeten komen.
20-05-2021, 18:46 door Anoniem
Get afschuiven op de stagiar vond ik zowiezo al fout boven de schaal. Hij is zelf verantwoordelijk voor stagelopers en wachtwoord eisen zouden afgedwongen moeten worden. Wederom zijn fout..
Sorry, not sorry zegt me dan niets.
21-05-2021, 10:54 door Anoniem
Door Anoniem: Get afschuiven op de stagiar vond ik zowiezo al fout boven de schaal. Hij is zelf verantwoordelijk voor stagelopers en wachtwoord eisen zouden afgedwongen moeten worden. Wederom zijn fout..
Sorry, not sorry zegt me dan niets.

Als het bedrijf een password policy heeft, en deze ook actief kenbaar maakt onder de werknemers, dan maakt een werknemer inderdaad een fout als hij/zij een wachtwoord kiest dat niet aan die policy voldoet.
Als die policy nu echter niet gekend is, dan ligt de fout natuurlijk minder bij werknemer.


Het is belangrijk dat er een zekere balans is tussen wat werknemers kunnen, wat werkgevers controleren, welke procedures er gehanteerd worden, etc...

De fout ligt meestal niet voor 100% bij de werknemer of de werkgever, maar door een bepaalde combinatie die in bepaalde omstandigheden kon plaatsvinden.

Ik vind het in ieder geval zeer eervol dat er later, nu er meer duidelijkheid is, deze eerste inschattingsfouten worden toegegeven. Dat is een belangrijke stap om te verbeteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search