SolarWinds实习生外泄密码solarwinds123，可能是骇客入侵破口

根据CNN报导，SolarWinds的几位高层在上周举行的联合听证会上坦承，SolarWinds实习生在2017年时于私人的GitHub账号上张贴了存取SolarWinds的密码“solarwinds123”，也许是骇客入侵该公司服务器的破口。

一名安全研究人员Vinoth Kumar透露，他是在2019年于网络上发现solarwinds123，相信该密码自2018年就存在，以用于存取SolarWinds的更新服务器，并即刻通知了SolarWinds。

SolarWinds的前首席执行官Kevin Thompson则说这是实习生犯下的错误，该实习生违反了SolarWinds的密码政策，还将密码张贴在私人的GitHub账号上，在收到通知的同时已撤销该密码。而SolarWinds的现任首席执行官Sudhakar Ramakrishna则说，此一密码其实从2017年就开始使用了。

目前SolarWinds仍无法断定骇客的第一入侵管道，除了实习生所外泄的密码之外，Ramakrishna认为其它的可能性还包括骇客暴力破解密码，或者是骇客先行危害了第三方的软件。

不管是不是solarwinds123惹的祸，美国众议员对SolarWinds所提出的质疑，也是资安社群最好奇的：“SolarWinds为何会允许员工设定一个如此简单的密码？”而Thompson或Ramakrishna则都未回应此一问题。