全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?

  • A+
所属分类:安全新闻
美国也有实习生和临时工……


时隔三个月后,2020 年年底那场牵连到美国数百家企业,影响近1.8 万用户的 SolarWinds 供应链攻击事件,终于进入了新阶段。


全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?

solarwinds123


上周,美国众议院和国土安全委员会举办联合听证会,了解 SolarWinds 事件的进展。在会上,solarwinds123 这个弱密码成了众矢之的,而 SolarWinds 前首席执行官 Kevin Thompson 甩锅实习生的言论,更是让人大跌眼镜。


这原本是一名实习生犯下的错误。他违反了公司的密码规范,使用了这个简单的密码并发到了 GitHub 上。


但是我们的安全团队在发现这个问题后,第一时间就把网上的密码删除了。


现任首席安全官 Sudhakar Ramakrishna 补充说,这个密码在 2017 年就已经开始使用。


在听证会上,议员们听到这个消息都震惊不已。众议员Katie Porter直接表示:

为了防止孩子在 iPad 上刷太多 YouTube 视频,我设的密码都比“solarwinds123“复杂。


作为一个提供网络安全管理软件的公司,SolarWinds 本应当帮助客户阻止入侵事件,结果却亲手给攻击者递了刀子……

全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?


在此前的事件梳理中,我们提到过,SolarWinds 的安全防御原本就比较薄弱。在 2019 年,安全研究人员 Vinoth Kumar 发现 SolarWinds 的服务器使用了一个非常弱的密码,也就是本文开头说到的弱密码:solarwinds123。 利用这个密码,任何人都可以访问 SolarWinds 的服务器,他为此向 SolarWinds 发出了警告。收到警告后,SolarWinds 才于 2019 年 11 月修改密码。而事实上,至少从 2018 年 6 月开始,这个密码就已经在网上公开。这一年多的时间,究竟贡献了多少攻击机会,谁也难说。只能说,这个锅让实习生来背,是有点沉了。


弱密码之殇

在听证会上,SolarWinds 的前任与现任 CEO 在甩锅实习生后,都没有解释为什么这么简单的密码会通过企业内部的审查。或者说,这也意味着他们内部的安全管理体系并不完善。过往的案例和数据表明,很多企业在网络安全管理方面做得并不到位,弱密码就是表现之一。弱密码很容易被暴力破解,泄露的密码又容易用于撞库攻击,导致更大规模的入侵和泄露事件发生。

全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?

2 月初,农历新年之前,佛罗里达州奥尔德斯马市水处理设施的计算机系统遭遇入侵,水中碱液量被调整到危险(致死)水平。近日公布的调查结果也显示,弱密码和老旧的操作系统,是造成入侵的原因。

多份调查报告显示,大量企业、个人都没有良好的密码使用习惯:

  • 65% 的受访者在多个站点重复使用密码;

  • 13%的受访者在所有的账户和设备中使用相同的密码;

  • 91% 的受访者了解密码重用的风险,但仍有 59% 的人还是会重复使用(可能不是怕记不住就是嫌麻烦); 

  • 48% 的工作人员在其个人和工作帐户中使用相同的密码;

  • 81% 的入侵事件由泄露的密码引起;

  • 一般人会重复使用一个密码14次;

  • 49%的员工仅在收到提示必须更新密码时才会去修改密码;

    ……

NordPass 曾发布 2020 年 200 个常用密码,也是最容易被攻击的密码。排名靠前的连续几年都有“123456” 。PWN 友们也可以在复制图片下方链接在浏览器中打开,检查自己的密码有没有在列表里。PWN 君相信你们都没有👀👀👀

全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?
https://nordpass.com/most-common-passwords-list/


对于企业来说,防止弱密码最简单的方法就是制定、执行相关的管理体系,不断培训、增强员工安全意识。在我国,《网络安全法》、《网络安全等级保护基本要求》、《中华人民共和国密码法》等法律法规或标准,都对密码的规范使用做出了相应要求。


对于个人来说,使用密码可以做到以下几点:

  • 不同账户和设备使用不同的密码;

  • 个人密码和工作密码不混用;

  • 定期检查、更新密码;

  • 最好是设置一套只有自己知道的密码组合体系,在不同的网站上做不同的变化……


使用密码管理软件生成、管理自己的密码也是很方便的选择。虽然我们经常调侃自己用六位数的密码保护三位数的余额。但别忘了,除了余额,我们还有更多珍贵的隐形资产。更何况,万一哪天像 SolarWinds 的实习生一样,这种锅可不一定背得动啊……


全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?

*进入极棒知识星球,获取密码使用与管理相关的法律法规与标准


*参考来源:

https://edition.cnn.com/2021/02/26/politics/solarwinds123-password-intern/index.html

https://www.cyberscoop.com/florida-water-facility-hack-password/

https://spycloud.com/a-deep-dive-into-the-verizon-2020-data-breach-investigations-report/


本期讨论


*你有什么密码管理小妙招?



全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?

点分享

全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?

点收藏

全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?

点点赞

全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?

点在看

本文始发于微信公众号(GeekPwn):全球“最严重” 供应链攻击祸起弱密码?这个锅实习生背得动吗?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: