Közel 800 magyar kormányzati e-mail-cím és a hozzájuk tartozó jelszó kering az interneten - írja a Bellingcat. A nyílt forrásokon végzett elemzés szerint a kormány 13 minisztériumából 12 érintett, ráadásul nemcsak kényelmes budapesti irodákban üldögélő kormánytisztviselők, hanem külföldön szolgálatot teljesítő katonák és magas rangú köztisztviselők bizalmas adatai is bárki számára elérhetők.

Az érintettek között volt információbiztonságért felelős magas rangú katonatiszt, a külügyminisztérium terrorizmusellenes koordinátora, valamint olyan alkalmazott is, akinek feladata az országot fenyegető hibrid fenyegetések felderítése volt.

Nem ez az első alkalom, hogy a magyar állam informatikai biztonságával kapcsolatos hiányosságok derülnek ki. A legemlékezetesebb talán a külügyminisztérium oroszok általi széthackelésének ügye volt: a 2022-es választások előtt a Direkt36 írta meg, hogy az orosz titkosszolgálatok hozzáfértek a külügy számítógépes hálózatához, beleértve annak belső kommunikációs csatornáit is, akkor ennek megtörténtét a külügyminisztérium és több kormánypárti politikus egyszerűen letagadta, és „kampányhazugságnak” minősítette az erről szóló információt. 2024-ben a 444 belső dokumentumokkal bizonyította, hogy a külügy tudott az orosz kibertámadásokról, mivel a Nemzetbiztonsági Szakszolgálat hivatalosan tájékoztatta a minisztériumot arról, hogy „a teljes érintettség okán több mint 4000 munkaállomás és 930-nál több szerver vált megbízhatatlanná”.

Jelszóparadicsom

Bár a kormány állítása szerint a külügy informatikai rendszeréből kitakarították az oroszokat, és az kifogástalan állapotban van, a Bellingcat új nyomozása alapján van még tennivaló a kormányzati információbiztonság terén: a Bellingcat összesen 795 egyedi e-mail-cím és jelszó kombinációt talált különböző (adatlopásos) adatbázisokban, amelyeknek a magyar kormányzati domainnevű, tehát gov.hu-s végződése van. (Azokat a központi kormányzati szerveket, amelyek a minisztériumok alá tartoznak, de saját domainnevet használnak, mint például a NAV vagy a rendőrség, nem vizsgálták.) Egyébként nemcsak a jelszavaik, hanem több adatvédelmi incidens során telefonszámok, címek, születési dátumok, felhasználónevek és IP-címek is kiszivárogtak.

Az eredmények nem azt bizonyítják, hogy a kormányzati rendszerekbe különböző high-tech módszerekkel hatoltak be, hanem azt, hogy a kormánytisztviselőknek láthatóan nem tanítják meg, hogyan kell biztonságos jelszót kitalálni. Vagy legalábbis az 1234567-nél, vagy a „Password"-nél egy fokkal biztonságosabbat. Ráadásul számtalan olyan példát találtak, ahol a kormányzati e-mail cím és gagyi jelszó kombinációt olyan, látszólag nem munkával kapcsolatos ügyekben használták, mint például társkeresőre, zenei, sport- és étkezési weboldalakra való regisztrálás.

Úgy tűnik, a kormánytisztviselők közt kifejezetten kedveltek a „Password” szó különböző variációi vagy az „1234567” számkombináció. Van olyan alkalmazott, aki LinkedInen a nagyon kreatív „linkedinlinkedin” jelszót használta. Egy másik, a védelmi minisztériumban dolgozó alkalmazott a saját vezetéknevét használja, van olyan külügyes, aki pedig az „embassy13hungary” jelszóval védi magát.

De mik ezek az adatbázisok?

Bár elsőre szürkezónásnak tűnik, ezek a jelszavak valójában az interneten bárki számára elérhetők, adatlopásokat tartalmazó adatbázisokban. Ezek olyan adatbázisok, amelyek korábbi kiberbiztonsági incidensekből származó hitelesítő adatokat tartalmaznak, általában domainnév alapján kereshetők, így azonosíthatók egy adott szervezethez, vállalathoz vagy kormányzati szervhez tartozó e-mail címek, egy ilyet használt a Bellingcat is, egészen pontosan a District 4 Labs nevűt.

Ebben 795 olyan adatlopást azonosítottak, amelyek magyar kormányzati e-mail-címeket és a hozzájuk tartozó jelszavakat tartalmaztak. Ezek többsége – 641 eset – azonban négy, kiemelt fontosságú minisztériumhoz, a Pénzügy-, a Belügy-, a Külügy- és a Honvédelmi Minisztériumhoz kapcsolódott. (A lenti példák anonimizálva vannak, de a Bellingcat az ő személyazonosságukat azonosította és megerősítette.)

Adolf, Arsenal, Kurvaanyad1

Néhány, a maga módján szórakoztató, de valójában inkább elkeserítő példa arra, hogy felelős pozícióban lévő kormánytisztviselők milyen jelszavak használatával gondolják védeni a munkahelyi levelezésüket:

A Bellingcat 170 belügyes e-mail-cím és jelszó párosítást azonosított, köztük „Arsenal” és a „Paprika” jelszavakkal, de olyanokat is találtak, akik csak három vagy négy betűből álló jelszavakat használtak. Egy, a büntetésvégrehajtáshoz tartozó e-mail-cím gazdája az „adolf”-ot választotta jelszóként. (Sajnos az nem derült ki, hogy a Fidesz kampányrendezvényein nemrégiben váratlan karriert befutó, fekete ruhás Adolfra utalhatott vele, esetleg egy másik, széles körben ismert Adolfra.). Miután ez megjelent a feltört jelszavakat tartalmazó adatbázisokban, a jelszót kétszer is megváltoztatták, először egy ötjegyű számra, majd „floki”-ra, de újra és újra kiszivárgott a jelszava. Az adolf-floki jelszavú munkatársat egyébként azonosítható módon kiemelkedő szakmai munkájáért is díjazták.

A Honvédelmi Minisztérium 120 alkalmazottjának keringenek az adatai a neten. Egy 2023-as NATO e-learninges adatvédelmi incidens következtében 42 ember – e-mail címeket, jelszavakat és telefonszámokat tartalmazó adatokat – tették közzé, legalsóbb rendfokozattól a parancsnoki pozíciókig azonosítható módon. Egy dandártábornok a saját becenevet használta jelszóként, amikor hivatali e-mail-címmel regisztrált egy filmfesztiválra. Egy parancsnok a „123456aA” jelszót használta, míg a magyar NATO-küldöttség egyik magas rangú tagja a „cukimuki” jelszót találta biztonságosnak.

A külügyes érintett között volt nagykövet-helyettes, konzulok, diplomaták Európában, az amerikai kontinensen és a Közel-Keleten egyaránt. Köztük volt egy terrorizmusellenes koordinátor, egy uniós szóvivő, valamint egy olyan személy is, aki feladata szerint a Magyarországot fenyegető hibrid fenyegetések felderítésével foglalkozik. Többen használták a saját nevükből és egy kétjegyű számból generált jelszót, mások például a „porsche911”, a „frogger” és a „Batman2013” jelszavakat ítélték biztonságosnak.

2024-ben mi is találtunk szivárgásos adatbázisokban 822 olyan email címet, amely a magyar Külgazdasági és Külügyminisztériumhoz köthető. Ez azt jelenti, hogy mindegyikről szivárgott ki valamilyen érzékeny adat az utóbbi években, legyen az egyedi IP cím, levél, bizalmas dokumentum, vagy épp felhasználónév-jelszó páros. Az adatbázis akkor 1001 darab olyan dokumentumot tartott nyilván, amely 2023 és 2024 folyamán került ki a nyílt internetre, köztük több tucat olyat, ami konkrét jelszavakat is tartalmazott.

A Nemzetgazdasági Minisztérium alkalmazottai 99 adatbiztonsági incidens áldozatává váltak, a korábban beleolvasztott pénzügyminisztériumnál ez a szám 145 volt. A kiszivárgott adatok között szerepelt egy helyettes- államtitkár bejelentkezési adatai is, aki a „snoopy” jelszót használta. Más alkalmazottak a születési dátumukat vagy a „Jelszó” szót használták. Egy jelenleg is a minisztériumban dolgozó vezető tanácsadó hitelesítő adatait négy alkalommal lopták el, amikor négy különböző jelszót használt, köztük a „Kurvaanyad1”-et.

Az eredeti cikk szerzője Ross Higgins. A Bellingcat a 444 konzorciumi partnere a The Eastern Frontier Initiative projektben. Címlapkép: Kiss Bence/444