匈牙利800條政府密碼泄露：一位上校用"蘭帕德"守國門

匈牙利國防部一位上校，把國家機密托付給了切爾西傳奇球星弗蘭克·蘭帕德。

不是暗號，不是代號，是他的真實密碼——"FrankLampard"。這位負責"信息安全"的軍官，似乎認為2005年歐冠決賽的絕殺功臣，足以擔當起守護北約機密的重任。

Bellingcat的調查報告讀起來像一份荒誕的田野筆記。近800組匈牙利政府郵箱密碼組合，散落在暗網的數據垃圾場里，橫跨國防、外交、財政等幾乎所有核心部門。這不是什么高級持續性威脅（APT），沒有零日漏洞，沒有國家級的攻擊鏈條。只是有人把鑰匙留在了門墊下面，而互聯網從不忘記。

120條國防記錄與一場三年前的北約泄露

國防部的數據值得單獨拎出來看。Bellingcat統計出約120條涉及國防人員的泄露記錄，其中一部分可以追溯到2023年北約電子學習平臺的入侵事件——那次泄露波及了郵箱、密碼和電話號碼。但時間線比想象中更混亂：大部分數據 spike 出現在2021年，卻持續有新記錄標注到2026年，而某些竊取日志顯示，部分設備可能真的被感染了，不只是被動卷入舊泄露的漣漪。

密碼的創造力則呈現出另一種光譜。一位地區總監選擇了"123456aA"，在復雜度要求面前做了最低限度的妥協。另一位北約代表團的高級官員，密碼翻譯成英文是"cute"——可愛。一位準將用自己的名字縮寫注冊了某個電影節賬號，而"linkedinlinkedin"這個案例則展示了另一種忠誠：它顯然來自早年領英的數據泄露，卻被原封不動地保留了下來，仿佛一種對歷史的不舍。

模式很清晰。官員們用政府郵箱注冊各類第三方服務，然后重復使用同一套密碼。一旦這些網站被攻破，憑證就流入了它們最終的歸宿——那些按GB計價的泄露數據庫。

竊取日志里的新信號

Bellingcat還發現了數十臺機器關聯的竊取日志，部分時間戳顯示為上月。這意味著事情不止于陳年舊賬。某些設備可能正被更主動地滲透，而不只是躺在歷史泄露的歸檔里。

信息竊取器（infostealer）的運作方式值得產品經理們琢磨：它不像勒索軟件那樣高調鎖屏，而是安靜地抽走瀏覽器保存的密碼、Cookie、自動填充的表單。用戶往往毫無察覺，直到某天發現自己的憑證出現在某個 Telegram 頻道里打包出售。

匈牙利政府收到的警告足夠直白。當涉及核心國家職能的憑證，與無數被攻破的購物網站、社交賬號混在一起流通時，這本身就在提問：基礎的安全衛生究竟被重視到了什么程度？

沒有零日，只有零意識

整個事件最刺眼的細節，是它完全不需要"技術"來完成。沒有漏洞利用鏈，沒有供應鏈投毒，沒有釣魚郵件的精密社工。只是密碼太弱，復用太多，而互聯網的記憶太好。

弗蘭克·蘭帕德大概不會想到，自己的名字會以這種方式出現在北約的安全簡報里。這位以遠射和鐵人出勤著稱的中場，職業生涯零紅牌，卻在退役多年后，意外成為了一起跨國安全事件的"守門人"。

報告的最后，Bellingcat留下了一個未被回答的問題：當這些憑證被批量驗證、分類、標價出售時，有多少已經被用于實際入侵？而匈牙利的情報機構，又是在調查發布后多久才拿到完整清單的？