У витоках даних знайшли сотні паролів, пов’язаних з урядом Угорщини — Bellingcat

Про це свідчить аналіз Bellingcat.

За даними журналістів, витоків даних зазнали 12 із 13 урядових міністерств Угорщини, що в деяких випадках призвело до розкриття конфіденційної інформації про військових і державних службовців, які працюють за кордоном.

Так, серед постраждалих — старший військовий офіцер, відповідальний за інформаційну безпеку, координатор боротьби з тероризмом у міністерстві закордонних справ і співробітник, чия робота полягала у виявленні гібридних загроз для країни.

Bellingcat виявила 795 унікальних комбінацій електронної пошти та паролів серед тисяч результатів пошуку для доменів угорського уряду в базах даних витоків. Однак до аналізу не потрапили центральні урядові агентства, які підпорядковуються міністерствам, але використовують окремі домени — наприклад, податкова й митна служба або поліція. Це свідчить, що масштаби витоків серед державних службовців можуть бути ще більшими.

Причиною витоків стала не кібератака, а погана цифрова гігієна з боку самих урядовців, наголошують у Bellingcat. У багатьох випадках співробітники міністерств використовували прості паролі разом із робочими електронними адресами для реєстрації на сайтах знайомств, музики, спорту чи їжі.

Крім того, самі паролі були слабкими. Так, виявили 170 комбінацій електронної пошти та паролів, пов’язаних із доменом міністерства внутрішніх справ. Серед паролів співробітників були «Arsenal» і «Paprika», а деякі складалися лише з трьох-чотирьох літер.

Один старший чиновник пенітенціарної служби також використовував пароль «adolf». Після появи в базах витоків пароль двічі змінювали — спочатку на п’ятизначне число, а потім на ім’я домашнього собаки. Пізніше нові паролі також потрапили до витоків.

У міністерстві оборони Угорщини один бригадний генерал для пароля використовував прізвисько з шести літер, похідне від свого імені, щоб зареєструватися на кінофестивалі. А полковник, який спеціалізувався на інформаційній безпеці, обрав пароль «FrankLampard» — на честь англійського футбольного тренера. До того ж один високопоставлений член угорської делегації в НАТО придумав пароль, що перекладається як «миленький».

В інших міністерствах працівники вигадували паролі на зразок «porsche911», «frogger», «Batman2013», «Kurvaanyad1» (приблизно перекладається як «к*рва мати») та варіації «password» (тобто «пароль»).

Це не перший випадок, коли стає відомо про проблеми з ІТ-безпекою угорського уряду. У 2022 році, напередодні виборів, угорське розслідувальне видання Direkt36 повідомило, що щонайменше десятиліття до того російські спецслужби мали доступ до комп’ютерної мережі угорського міністерства закордонних справ разом із його внутрішніми каналами комунікації.