„OAuth“ ist eine feine Sache: Einmal eine Anwendung in der Cloud autorisiert und schon steht das neue Plug-In auf Google oder Microsoft zur Verfügung.

Der Vorfall bei SolarWinds Orion zeigt ebenfalls die Schwächen bzw. Risiken des „OAuth“-Protokolls auf, dass von diversen Cloud-Anbietern wie Google und Microsoft eingesetzt wird. Über dieses Protokoll können weitere Dienste (z.B. Erweiterungen der Benutzeroberfläche, Business Intelligence, CRM, Dokumenten-Management, usw.), meistens von dritten Anbietern, auf die Kerndaten des Kunden in dessen Cloud-Instanz zugreifen.

Gemäß dem Sicherheitsunternehmen ProofPoint sollen die Angreifer bei diesen „SolarWindy“-Vorfällen, bewusst OAuth eingesetzt haben, um längerfristig („persistent access“) einen Zugriff auf die gewünschten E-Mail-Benutzerkonten zu bekommen. Das Resümee von ProofPoint dazu ist jedoch vernichtend: