Vivaldo José Breternitz (*)
A SolarWinds é uma empresa americana que desenvolve software para auxiliar organizações a gerenciar suas redes, sistemas e infraestrutura de tecnologia da informação. Hackers russos – e possivelmente chineses também – conseguiram, após invadir sistemas da empresa, atacar centenas de empresas e órgãos do governo estadunidense, de onde foram roubados arquivos, conteúdo de caixas postais e dados pessoais.
Para se ter uma ideia da gravidade do episódio, uma das vítimas foi uma agência do governo responsável pela administração de armas nucleares. A SolarWinds vive um drama que parece estar longe de acabar e que está ficando pior: uma das senhas que permitiu a invasão era “solarwinds123”; senhas como essa tem um nível quase nulo de segurança, e ao que tudo indica, foi criada por um estagiário da empresa e descoberta pelos hackers.
No dia 26 passado, o ex-CEO da SolarWinds, Kevin Thompson, disse em depoimento a representantes do Congresso que a senha “solarwinds123”, que protegia um dos servidores da empresa, fora criada “por um erro cometido por um estagiário, que violou nossas políticas de senhas”. O estagiário postou a senha em sua conta particular do GitHub, uma plataforma de hospedagem de código-fonte e arquivos muito usada por desenvolvedores e provavelmente foi descoberta ali pelos hackers.
Em dezembro, o pesquisador de segurança Vinoth Kumar disse à agência de notícias Reuters ter avisado à SolarWinds que qualquer pessoa poderia acessar seus servidores usando a senha “solarwinds123”. A CNN noticiou que a senha estava disponível no GitHub ao menos desde junho de 2018. No entanto, os depoimentos de executivos da SolarWinds sugerem que a brecha pode ser ainda mais antiga. Sudhakar Ramakrishma, o atual CEO, disse que a referida senha já estava em uso em seus servidores desde 2017.
O governo americano ainda está investigando o caso, ainda não estando claro quais dados os invasores conseguiram obter; acredita-se que a apuração levará meses. Kevin Mandia, CEO da FireEye, a companhia que descobriu o hackeamento, disse que talvez nunca se saiba o real tamanho do estrago.
Mas uma coisa já se sabe: um estagiário vai sofrer…
(*) – Doutor em Ciências pela USP, é professor da Faculdade de Computação e Informática da Universidade Presbiteriana Mackenzie.