Tizenhárom magyar minisztérium közül tizenkettő érintett abban az adatszivárgásban, vagy adatlopásban, amelyről a Bellingcat oknyomozó portál számolt be, amely a Darkside nevű fizetős szolgáltatást használva talált rá 795 e-mail-címhez tartozó jelszóra.
A Darkside olyan szolgáltatás, amellyel a domain-nevekre szűrve lehet keresni a darkneten, illetve a „tiszta” internetre kikerült jelszavakra. A kiszivárgott jelszavak között van egy információbiztonsággal foglalkozó katonatiszté, egy terrorelhárító koordinátoré, illetve egy olyan személyé, akinek a feladata az országot fenyegető hibrid veszélyek meghatározása lenne.
A legtöbb e-mail-jelszó páros a belügyminisztériumból (170), a pénzügyminisztériumból (145), a védelmi minisztériumból (120), valamint a külügyminisztériumból 107) kerül ki. A Bellingcat csak a minisztériumokat vizsgálta, és nem foglalkozott a különféle egyéb kormányzat szervezetekkel, például a rendőrséggel, illetve a NAV-val.
Az oknyomozó portál hangsúlyozza: semmi sem utal arra, hogy a magyar kormányzati rendszerekbe csúcstechnológiai módszerekkel hatoltak volna be. „Elemzésünkből inkább arra lehet következtetni, hogy a biztonsági incidensek a nem megfelelő digitális biztonsági gyakorlat következményei. Sok esetben a munkatársak egyszerű jelszavakat használtak kormányzati e-mail-címükkel együtt olyan, nem a munkájukkal kapcsolatos weboldalakon, mint például a társkereső, vagy sporttal kapcsolatos oldalak” – írta a Bellingcat. A tanulmány szerint néhányan a „Password” vagy „jelszó” szó különböző variációit illetve az „1234567” számkombinációt használták. Az egyik alkalmazott, akinek a hitelesítő adatai a 2012-es LinkedIn-támadás során kerültek nyilvánosságra, a „linkedinlinkedin” jelszót találta megfelelőnek. Egy másik, a védelmi minisztériumban dolgozó alkalmazott a vezetéknevét használta. A külügyminisztérium egyik alkalmazottjának kiszivárgott jelszava az „embassy13hungary” volt. Számos adatlopás során telefonszámok, címek, születési dátumok, felhasználónevek és IP-címek is kiszivárogtak – ezek olyan adatok, amelyek nyilvánosságra kerülése biztonsági kockázatot jelenthet.
A Bellingcat azt is hangsúlyozta, hogy a magyar kormányzati alkalmazottak jelszavai jórészt különféle számítógépes adatlopási akciók során kerültek napvilágra. A portál, amely emlékeztetett arra is, hogy a Direkt36 oknyomozó híroldal 2022-ben megírta, hogy az orosz titkosszolgálat behatolt a magyar külügyminisztérium szervereibe, azt is hangsúlyozta, hogy a szakértők szerint egyértelmű, hogy a magyar hatóságok nem fordítanak megfelelő figyelmet a digitális biztonságra. Bárdos Kata Kincső, a Bellingcat által megszólaltatott magyar kiberbiztonsági szakértő arról beszélt, nem csak az érthetetlen, hogy a hatóságok miért nem tartatták be a jelszavak használatával kapcsolatos biztonsági szabályokat, hanem az is, hogy miért nem ellenőrizték, mely jelszavak kerülhettek nyilvánosságra. „Az alacsonyabb beosztású alkalmazottak megcélzása jól dokumentált és gyakori taktika. A támadók gyakran adathalász támadások vagy gyenge jelszavak révén szereznek kezdeti hozzáférést, majd a rendszeren belül kiterjesztik jelenlétüket” – mondta a szakértő.
Megkérdeztük a Kormányzati Tájékoztatási Központot arról, értesültek-e a jelszavak nyilvánosságra kerüléséről, illetve arról, mennyire tartják megfelelőnek az információs biztonság jelenlegi szintjét. Amint válaszolnak, kiegészítjük cikkünket.
Borítóképünk egy korábbi AFP-felvétel, amelyen Eliot Higgins Bellingcat-alapító tart sajtótájékoztatót.
