Prosegue l’indagine sul terribile attacco hacker perpetrato attraverso SolarWinds e l’azienda si mostra imbarazzata a causa di una password.
Il Senato statunitense sta cercando di capire quanto la situazione sia grave (spoiler: è molto grave). Hacker di un qualche Paese straniero – forse la Russia, forse la Cina – si sono infiltrati per mesi nei server delle agenzie di governo e delle multinazionali a stelle e strisce, leggendo una mole di dati che è incalcolabile e copiando diversi codici sorgenti.
I cybercriminali sono riusciti a fare tanti danni grazie all’ingegnosa idea di adoperare SolarWinds – azienda fornitrice di servizi digitali – come cavallo di Troia attraverso cui accedere ai dietro le quinte di innumerevoli altri sistemi.
La ditta digitale è ovviamente finita al centro di svariate indagini, poliziesche e giornalistiche, cosa che ha fatto emergere nel tempo alcuni particolari inquietanti. Uno nello specifico sta mettendo in grande imbarazzo i dirigenti coinvolti: l’accesso a parte dei loro server era difeso dal codice d’accesso “solarwinds123”.
“Adopero una password migliore di “solarwinds123″ anche solo per impedire ai miei figli di guardare troppo YouTube sui loro iPad”, ha pungentemente fanno notare la delegata Katie Porter durante l’udienza.
SolarWinds è stata perentoria nel giustificare una password tanto debole, ovvero ha scaricato la responsabilità su un innominato stagista che orbitava nell’azienda attorno al 2017. La ditta sottolinea infatti che si sia trattato di un errore e che la policy dell’azienda non supporti sistemi di protezione dei dati tanto scialbi.
Non ci sono prove che la più grave e profonda infiltrazione digitale mai subita dagli USA sia stata causata da quest’unica leggerezza, tuttavia alcuni organi di stampa sembrano suggerire tra le righe che questo sia il peccato originale che ha scatenato la corruzione dell’intero network.
Una simile narrazione – tremendamente semplicistica – offre infatti una risposta immediata e facilmente digeribile a un’insidia che è invece estremamente articolata e che si estende ben oltre la portata del caso specifico.
Oltre al fare la conta dei danni subiti, gli Stati Uniti devono infatti capire se e come sia possibile prevenire che simili episodi avvengano in futuro o, in alternativa, in che modo le fughe di dati possano essere rese compatibili con la nostra vita e con le politiche internazionali.
Potrebbe anche interessarti:
- Former SolarWinds CEO blames intern for ‘solarwinds123’ password leak (edition.cnn.com)