A Bellingcat Oknyomozó Portál Jelentése az Adatszivárgásról
A Bellingcat nemzetközi oknyomozó portál legfrissebb jelentése szerint közel nyolcszáz magyar kormányzati e-mail-cím és a hozzájuk tartozó jelszó került nyilvánosságra az online térben. Ez az incidens komoly aggodalomra ad okot, hiszen a nyilvánosságra került adatokat nem egy célzott kibertámadás révén szerezték meg, hanem a kormányzati munkatársak gyenge jelszóhasználata miatt. Az elemzés arra figyelmeztet, hogy alapvető biztonsági hibák állnak fenn a minisztériumok adatkezelési protokolljaiban.
Az Érintett Minisztériumok
A tizenhárom magyar minisztériumból tizenkettő érintett az adatszivárgásban. A Bellingcat által elvégzett vizsgálat során a Darkside nevű, fizetős darknet szolgáltatás segítségével összesen 795 e-mail-címhez hozzáférhető jelszót találtak. A kiszivárgott adatok között szerepeltek különböző kormányzati funkcióval rendelkező személyek, például egy információbiztonsággal foglalkozó katonatiszt és egy terrorelhárító koordinátor is.
A Leggyakrabban Kiszivárgott Jelszavak és E-mailek
A legtöbb kiszivárgott jelszó a következő minisztériumokból származik: a Belügyminisztériumból 170, a Pénzügyminisztériumból 145, a Védelmi Minisztériumból 120, valamint a Külügyminisztériumból 107 e-mail-jelszó került nyilvánosságra. A Bellingcat hangsúlyozza, hogy az elemzés kizárólag a minisztériumokra vonatkozik, és nem terjedt ki más kormányzati szervezetekre, mint például a rendőrség vagy a NAV.
Biztonsági Protokollok Figyelmen Kívül Hagyása
A Bellingcat megjegyezte, hogy a nyilvánosságra került adatok magas valószínűséggel a nem megfelelő digitális biztonsági gyakorlat következményeként kerültek a felszínre. Az alkalmazottak gyakran használtak egyszerű, könnyen kitalálható jelszavakat, mint például a ‘Password’, ‘jelszó’ variációi, vagy az ‘1234567’ számkombinációt. Például egy olyan alkalmazott, akinek adatai a 2012-es LinkedIn híroldal támadása során szivárogtak ki, a ‘linkedinlinkedin’ jelszót tartotta elfogadhatónak, míg egy védelmi minisztériumi munkatárs a saját vezetéknevét használta.
A Digitális Biztonság Témája
Az incidens rávilágít arra, hogy a magyar kormányzati alkalmazottak digitális biztonsága nem megbízható. Bárdos Kata Kincső, a Bellingcat által megkérdezett kiberbiztonsági szakértő, hangsúlyozta, hogy a kormányzati hatóságoknak nem csupán a jelszavak használatára vonatkozó szabályokat kellett volna betartaniuk, hanem figyelmet kellett volna fordítaniuk arra is, hogy milyen jelszavak kerültek nyilvánosságra. Az alacsonyabb beosztású alkalmazottak célzása általában a kibertámadások gyakori praktikája, amely során a támadók adathalász támadások vagy gyenge jelszavak révén próbálnak kezdeti hozzáférést szerezni a rendszerekhez.
Reagálás a Kormányzati Szervtől
A Kormányzati Tájékoztatási Központot megkerestük, hogy megtudjuk, értesültek-e a kormányzati jelszavak nyilvánosságra kerüléséről, és hogyan értékelik az információs biztonság jelenlegi szintjét. A választ követően frissítjük cikkünket a kapott információkkal.