Grugq påminner: det var inte det faktum att en praktikant satt ett dåligt lösenord på en server, som gjorde det möjligt för KGB att hacka den amerikanska administrationen.
Solarwind utnyttjades inte för att de hade dålig säkerhetspolicy.
Solarwind valdes inte som ett mål för att de hade slapp säkerhetspolicy.
Solarwind valdes som ett mål för att deras produkter användes av en stor mängd organisationer som i sin tur är intressanta mål.
En bättre uppstyrd säkerhet hade försvårat arbetet för de som bäddade in bakdörrar i den utnyttjade mjukvaran, men hade inte räddat Solarwinds drabbade kunder.
Angriparna förefaller vara så sofistikerade och resursrika att de hade lyckats injekta farlig kod i vilket fall, om det behövs genom att manipulera eller tvinga anställda hos Solarwind.
Det var till slut brister hos målen för attacken: Solarwinds kunder, som gjorde det möjligt att obemärkt ta sig vidare in i kundernas system och exfiltrera data.
Uppdatering januari 2026: Grugqs poäng om att fokusera på supply chain-attacken snarare än lösenordet är delvis giltig – den verkliga attackvektorn var injektion av skadlig kod i SolarWinds Orion-uppdateringar. Dock var lösenordet ”solarwinds123” på uppdateringsservern en dokumenterad sårbarhet som SolarWinds VD vittnade om inför kongressen. Svaga lösenord och sofistikerade supply chain-attacker utesluter inte varandra – båda pekade på brister i SolarWinds säkerhetskultur.