Tényleg keringenek kormányzati jelszavak a neten, de nem úgy
A Bellingcat oknyomozó portál napokkal a választások előtt tett közzé egy elemzést, ami azt mutatja, hogy több száz kormányzati intézményhez vagy szereplőhöz tartozó jelszó érhető el a neten. Ez azonban nem feltétlen feltört kormányzati rendszerekhez kapcsolódik, hanem a digitális biztonság terén hanyag alkalmazottakhoz, és természetesen a nem elégséges szervezeti intézkedésekhez.
Épp a választás előtti napokban publikálta elemzését a Bellingcat oknyomozó portál arról, hogy „közel 800 magyar kormányzati, különféle minisztériumokból származó e-mail cím és kapcsolódó jelszó” kering az interneten, ami a minisztériumok biztonsági protokolljainak hiányosságaira világít rá. A szerzők elemzése szerint az összesen 13 minisztériumból 12 érintett, tehát kiszivárgott valamelyik alkalmazottjához kapcsolható munkahelyi e-mail cím/jelszó. A lap szerint az érintettek közt található információbiztonságért felelős magas rangú katonatiszt, külügyminisztériumnál dolgozó koordinátor és más magas beosztású szakemberek.
A Bellingcat a Darkside nevű kiberhírszerzési platformot használta a magyar kormány 13 minisztériumához tartozó fő e-mail domainekkel végzett vizsgálatához. Ehhez kapcsolódóan összesen 795 olyan esetet azonosítottak, amelyek kormányzati e-maileket és a hozzájuk tartozó jelszavakat tartalmaztak, ebből 641 incidens négy központi intézményhez köthető.
Az AI erősokszorozó egy rutinos security szakember kezében Az AI nem csak a fejlesztésre van hatással: új sorozatunkban végignézzük, hogyan hat az informatika más részterületeire.
Kocsis Tamás (Sharky), a Kiberblog kiberbiztonsági szakértője szerint valójában nem 800 e-mail/jelszó párosról lehet beszélni, hanem több mint 10 ezer egyedi e-mail címről és általában, de nem minden esetben azokhoz tartozó jelszavakról. A 10 ezer egyedi e-mail cím 366 különféle kormányzati intézményhez vagy szereplőhöz tartozik, és ott vannak közöttük a Belügyminisztérium, Honvédelmi Minisztérium, Katasztrófavédelem, TEK, Alkotmányvédelmi Hivatal – és a többi rangos és csúcsszerv, illetve megannyi más intézmény és aldomain felhasználói.
Annyira nem meglepő
A Bellingcat kiemeli, hogy az elemzés során feltárt e-mail cím/jelszó párosok nem bizonyítják egyértelműen azt, hogy feltörték volna a magyar kormányzati rendszereket, inkább a kormányzati felhasználók hanyagságának eredményeként lehetett összekalapozni az adatokat különböző szivárgásokból és adatlopásokból. A Darkside és a hasonló adatbázisok korábbi kiberbiztonsági incidensekből gyűjtött hitelesítő adatok gyűjteményei, melyen keresztül domain szerint lehet ellenőrizni, hogy milyen adatbiztonsági incidensben volt érintett az adott szervezethez, vállalathoz vagy kormányhoz tartozó e-mail cím.
Tehát szó sincs arról, hogy éppen most történt volna valami nagy kiberbiztonsági incidens a minisztériumoknál, a háttérben egy klasszikusnak mondható probléma áll, ami bármelyik más szervezetnél is megtörténhet: a munkatársak nem csak egyszerű jelszavakat használtak, de a fő gond, hogy a kormányzati fiókjaik e-mail címeit, jelszavait munkán kívüli tevékenységekhez is felhasználják, például társkereső, sport-, vagy gasztronómiai weboldalakra való regisztrációkor, akár a Shein vagy a Temu felületén, ahonnan hozzájuthatnak illetéktelenek is. Ha ez a jelszavak újrahasználásával társul, tehát a magánfiókokhoz tartozó jelszó egyezik a munkahelyen is használt jelszóval, az valóban problémás.
A jelentés különös figyelmet szentel a jelszavaknak, mivel egyes alkalmazottak olyan banális sorokat választottak, mint a „password”, az „1234567”, de olvasni meghökkentőbb kifejezéseket is, mint az „adolf”, a „paprika” és az „Arsenal”, „Batman2013”, „porsche911”.
A kiszivárgott hitelesítő adatok tehát már korábbi incidensekből származnak, ahogy a külügyminisztérium személyzetéhez köthető információk is, és akár egészen 2011-2026 közt kiszivárgott adatokról lehet szó.
A Darkside-ban és más incidenseket tartalmazó adatbázisokban végzett keresések nyomán a Bellingcat kitér a bejelentkezési adatok ellopására tervezett, rosszindulatú programokkal fertőzött számítógépekre is. Az elemzés szerint 97 gépet fertőztek meg magyar kormányzati szerveknél valamilyen infostealerrel, melyek közt a múlt hónapban történt esetre utaló naplófájlokat is sikerült találni.
Kocsis szerint 381 különféle weboldalra, webes applikációba való bejelentkezési és hitelesítési adatokat loptak el a különféle kártékony kódok a felhasználó számítógépének megfertőzésével, és onnan is kerültek ki hozzáférési adatok.
A Chrome, Firefox és a modern böngészők sajnos nem csak a jelszómentést teszik lehetővé (amelyet azonban nem tudnak biztonságosan tárolni), hanem mellé még szinkronizálnak is a felhővel. Azaz ha a felhasználó az irodában elment egy webes alkalmazáshoz egy felhasználó nevet és jelszót, akkor az felmegy a felhőbe, majd onnan leszinkronizálódik az otthoni gépére. Ha az otthoni gép fertőződik – és tételezzük fel, hogy egy otthoni számítógép alacsonyabb védelemmel rendelkezik, mint egy kormányzati intézmény számítógépe – akkor a bent elmentett hozzáférési adat az otthoni gépről szivárog ki - emeli ki a szakértő.
A kiberbiztonsági szakértő szerint az ilyen események mögött általában az az alapvető kontrollhiány áll, hogy nincs tiltva a szervezeti oldalon a jelszómentés és nincs tiltva a szinkronizálás. Ezzel a szervezet ugyanazt éri el, mintha házon belül se alkalmazna védelmet: ki fognak kerülni a bent elmentett hozzáférési adatok. Ez a probléma ingyenesen orvosolható, a címtárban beállítható (a kiegészítő telepítésével), hogy kontrollálni lehessen a böngésző beállításokat és meg lehessen tiltani a jelszómentést, de legalább a jelszó szinkronizációt.