Gyenge kombinációk miatt szivároghatott ki 800 kormányzati jelszó

A Bellingcat oknyomozó portál szerint 800 internetes jelszó szivárgott ki a magyar kormányzattól az internetes térbe. Ez arra utalhat, hogy alapvető hibák vannak a titkos és bizalmas adatokat kezelő minisztériumok biztonsági protokolljaiban - írta a portál. A jelentés azt is kihangsúlyozta, hogy az adatok nem célzott betörés miatt váltak nyilvánossá, hanem azért, mert a felhasználók gyenge jelszavakat használtak. 

Tizenhárom magyar minisztérium közül tizenkettő érintett egy adatszivárgásban vagy adatlopásban, amelyről a Bellingcat oknyomozó portál számolt be. A portál a Darkside nevű fizetős szolgáltatás segítségével talált rá 795 e-mail-címhez tartozó jelszóra. A Darkside egy olyan szolgáltatás, amellyel a domain-nevekre szűrve lehet keresni a darkneten, illetve a „tiszta” internetre kikerült jelszavakra. A kiszivárgott jelszavak között egy információbiztonsággal foglalkozó katonatiszté, egy terrorelhárító koordinátoré, illetve egy olyan személyé is megtalálható, akinek a feladata az országot fenyegető hibrid veszélyek meghatározása lenne. 

 A legtöbb e-mail-jelszó páros a belügyminisztériumból (170), a pénzügyminisztériumból (145), a védelmi minisztériumból (120), valamint a külügyminisztériumból 107) szivárgott ki. A Bellingcat oknyomozó portál csak a minisztériumokat vizsgálta, a külön kormányzati szerverekkel, illetve a rendőrség és a NAV esetében sem vizsgálódott külön - írja a Hvg. 

Az oknyomozó portál azt is hangsúlyozta, hogy a jelszavak nem azért szivárogtak ki, mert valaki feltörte volna a rendszert. „Elemzésünkből inkább arra lehet következtetni, hogy a biztonsági incidensek a nem megfelelő digitális biztonsági gyakorlat következményei. Sok esetben a munkatársak egyszerű jelszavakat használtak kormányzati e-mail-címükkel együtt olyan, nem a munkájukkal kapcsolatos weboldalakon, mint például a társkereső, vagy sporttal kapcsolatos oldalak” – írta a Bellingcat. A tanulmány szerint többen is voltak, akik a „Password” vagy „jelszó” szó különböző variációit illetve az „1234567” számkombinációt használták. 

Az egyik alkalmazott, akinek a hitelesítő adatai a 2012-es LinkedIn-támadás során kerültek nyilvánosságra, a „linkedinlinkedin” jelszót gondolta a legmegfelelőbb védelemnek. Egy másik, a védelmi minisztériumban dolgozó alkalmazott a saját vezetéknevét használta a jelszavához. A külügyminisztérium egyik alkalmazottjának kiszivárgott jelszava az „embassy13hungary” volt. Számos adatlopás során telefonszámok, címek, születési dátumok, felhasználónevek és IP-címek is kiszivárogtak – ezek mind olyan adatok, amik nyilvánosságra kerülve komoly biztonsági kockázatot okozhatnak. 

A Bellingcat azt is hangsúlyozta, hogy a magyar kormányzati alkalmazottak jelszavai jórészt különféle számítógépes adatlopási akciók során kerültek napvilágra. A portál arra is emlékeztetett a cikkében, hogy a Direkt36 oknyomozó híroldal 2022-ben már megírta, hogy az orosz titkosszolgálat betört a magyar külügyminisztérium szervereibe, és azt is nyomatékosították, hogy szakértői vélemények szerint a magyar hatóságok nem fordítottak kellő figyelmet a digitális biztonságra. 

Bárdos Kata Kincső, a Bellingcat által megszólaltatott magyar kiberbiztonsági szakértő arról beszélt, nem csak az érthetetlen, hogy a hatóságok miért nem tartatták be a jelszavak használatával kapcsolatos biztonsági szabályokat, hanem az is, hogy miért nem ellenőrizték azt sem, mi került nyilvánosságra. „Az alacsonyabb beosztású alkalmazottak megcélzása jól dokumentált és gyakori taktika. A támadók gyakran adathalász támadások vagy gyenge jelszavak révén szereznek kezdeti hozzáférést, majd a rendszeren belül kiterjesztik jelenlétüket” – mondta a szakértő. A Kormányzati Tájékoztatási Központ egyelőre nem reagált a Hvg megkeresésére.