SolarWinds 的幾位現任、前任高管將公司密碼安全的嚴重失誤歸咎于公司的實習生。據稱 SolarWinds 此前設置的密碼是 solarwinds123，并在 2019 年被獨立安全研究員 Vinoth Kumar 發現并通知 SolarWinds 文件服務器存在對外暴露的問題。

SolarWinds 前首席執行官 Kevin Thompson 指出，由于實習生將密碼發布到私人的 GitHub 上才引起了軒然大波。SolarWinds 現任首席執行官 Sudhakar Ramakrishna 也透露，自 2017 年開始該公司就使用該密碼。

[[384363]]

最近，在眾議院監督和國土安全委員會(House Oversight and Homeland Securities committees)舉辦的聯合聽證會上，許多美國議員都指出 SolarWinds 弱密碼存在的問題。議員 Katie Porter 指出，就連她本人的密碼都比 solarwinds123這個密碼強度更高。

根據 CNN 的報道，微軟總裁 Brad Smith 指出沒有證據表明美國國防部受到了本次攻擊的波及。同時，Brad Smith 批評亞馬遜和 Google 沒有公開披露對 SolarWinds 攻擊所知道的信息。

[[384364]]

Brad Smith 表示，微軟發布了 32 篇文章詳細披露微軟對 SolarWinds 攻擊的觀察。Google 僅僅有一篇，而亞馬遜對此保持沉默。根據美國《政治新聞》周二的報道，Google 前一天向國會議員提供了一份清單。問題清單旨在檢查微軟產品(例如 Windows 10、Azure 和 Office 365)的安全性，想借此對微軟施壓。

Brad Smith 在采訪時表示：“從軟件工程的角度來看，可以說這是世界上迄今為止最大、最復雜的攻擊”。隱藏在 SolarWinds Orion 更新中的攻擊，影響遍及 18000 個機構的網絡。

SolarWinds 公司的代表在聽證會上表示，密碼問題在短短幾天內就被修復了，但是仍然存在一些關鍵數據的泄露。但是，尚不清楚這些泄露的數據在多大程度上可以幫助外國黑客監控/入侵聯邦機構/企業。

[[384365]]

黑客顯然在美國政府機構的計算機中潛伏了數月之久，黑客在期間查看了電子郵件。除了國家核安全局之外，司法部，商務部，財政部，能源部和 NIH 等政府部門均受到影響。盡管美國國土安全部花費了數十億美元建造的名為“愛因斯坦”的態勢感知系統，以檢測對政府機構的網絡攻擊。但攻擊者仍然從美國的匿名服務器發起了攻擊，因為美國的法律禁止國家安全局監視美國的私人計算機網絡。

美國國家安全局前副局長 Chris Inglis 認為：“在政府網絡中發現全部黑客攻擊，需要花費數年的時間。即使發現攻擊，最安全的方法仍然是更換硬件、更換系統”。