SolarWinds ชี้แจง ตั้งรหัสผ่าน solarwinds123 แล้วโพสต์ออกอินเทอร์เน็ต "เป็นฝีมือเด็กฝึกงาน"

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 28 กุมภาพันธ์ 2021.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    จากกรณีการแฮ็ก SolarWinds ครั้งประวัติศาสตร์ ที่ส่งผลให้หน่วยงานภาครัฐในหลายประเทศโดนแฮ็กตามไปด้วย ทำให้คณะกรรมาธิการด้านความมั่นคงของสภาผู้แทนราษฎรสหรัฐ เรียกผู้บริหารของ SolarWinds มาชี้แจง

    ประเด็นหนึ่งที่น่าสนใจคือความอ่อนแอของระบบความปลอดภัย SolarWinds เอง โดยในปี 2019 มีนักวิจัยด้านความปลอดภัยค้นพบรหัสผ่าน "solarwinds123" ถูกโพสต์อยู่ในอินเทอร์เน็ตสาธารณะตั้งแต่ปี 2017 และพบว่าเป็นรหัสผ่านเข้าเซิร์ฟเวอร์ภายในของบริษัท (กรณีนี้ไม่เกี่ยวกับ SolarWinds ถูกแฮ็กโดยตรง แต่สะท้อนว่าบริษัทไม่ค่อยระวัง)

    เรื่องนี้ Kevin Thompson อดีตซีอีโอของ SolarWinds (ที่เพิ่งลาออกไปหลังข่าวการแฮ็ก) ตอบว่าเป็นความผิดพลาดของเด็กฝึกงาน ที่ไม่ปฏิบัติตามนโยบายการตั้งรหัสผ่าน และโพสต์รหัสนี้ลงในบัญชี GitHub ส่วนตัว และหลังจากบริษัทได้รับแจ้งเรื่องนี้ก็แก้ไขทันที

    Mike Hamilton ผู้เชี่ยวชาญด้านความปลอดภัยจากบริษัท CI Security แสดงความเห็นต่อ Business Insider ว่าเขาไม่เชื่อคำอธิบายนี้ และเชื่อว่าการโพสต์รหัสผ่านลง GitHub น่าจะเกิดจากระบบอัตโนมัติของ SolarWinds มากกว่าเด็กฝึกงาน

    [​IMG]

    ที่มา - CNN, Business Insider

    Topics: SolarWindsSecurityPassword
     

แบ่งปันหน้านี้