調查報導機構Bellingcat最新分析揭露,近800組匈牙利政府官員的電郵與密碼在網上流傳,暴露出從國防到外交等核心部門存在嚴重安全漏洞,部分官員甚至使用「史努比」、「阿道夫」等荒唐字眼作為密碼。
本文核心內容:
- 外洩規模:共795組政府電郵與密碼組合在暗網流傳。
- 受影響部門:政府13個部會中有12個受害,包括國防部、外交部與內政部。
- 外洩原因:官員數位衛生習慣不佳,在非工作網站使用政府電郵註冊,並設置易猜測的弱密碼。
- 涉及人員:從負責資訊安全的高階軍官、反恐協調員到駐外外交官均受波及。
「阿道夫」、「史努比」:荒唐密碼揭示資安文化匱乏
報告指出,此次大規模憑證外洩並非源於高科技滲透,而是政府員工普遍缺乏基本的數位安全意識。許多官員將政府電郵用於註冊約會、音樂、美食等網站,並使用極其簡單的密碼,例如「1234567」或匈牙利語的「密碼」(Jelszo)。
具體案例令人咋舌:內政部監獄部門一名高官使用「adolf」作為密碼;國家經濟部一名副國務秘書的密碼是「snoopy」;國防部一名專精「資訊安全」的上校,密碼竟是足球經理的名字「FrankLampard」;更有外交部員工使用「embassy13hungary」這種極易猜測的組合。一名高級顧問的密碼甚至包含粗俗的匈牙利語髒話「Kurvaanyad1」(意為「你媽是個婊子」)。
俄羅斯黑客陰影未散 新漏洞再敲警鐘
這並非匈牙利政府首次爆出資安醜聞。早在2022年大選前,媒體Direkt36便曾報導俄羅斯情報部門已滲透匈牙利外交部長達十年,但當時遭官方否認。然而後續文件證實,匈牙利國家安全局早已警告外交部其超過4000台工作站「不可靠」。
政治分析師杜爾(Szabolcs Dull)表示,新曝光的事件證實了「政府機構並未認真對待資料安全」。網絡安全專家巴爾多什(Kata Kincső Bárdos)則難以理解,為何處理敏感資料的政府環境竟未強制執行多重要素驗證(MFA)等基本防護措施。她警告:「單一外洩的密碼即可提供對內部系統的立即存取權。」攻擊者常以低階員工為突破口,再橫向移動滲透整個系統。
Bellingcat已就此事聯繫匈牙利政府,但未獲回應。
來源:Bellingcat