匈牙利政府賬號密碼泄露，"FrankLampard"竟成國家機密守門人

匈牙利政府近日以慘痛的教訓發(fā)現，國家安全最大的威脅，或許正是本國官員自己選擇的密碼。

調查機構Bellingcat的一項調查揭露，近800組匈牙利政府電子郵件與密碼配對信息已在各類數據泄露轉儲文件中廣泛流傳，涉及幾乎所有主要政府部門，從國防部、外交部到財政部，無一幸免。

這次事件看起來并非有人強行入侵，而更像是官員們自己把門敞開了。弱密碼、在不該重復使用的地方反復使用，最終流落到它們注定會去的地方。

國防部的數據尤為值得關注。Bellingcat統計，與國防部員工相關的泄露記錄約有120條，其中包括2023年北約電子學習平臺遭遇數據泄露后波及的電子郵件、密碼和電話號碼。大部分泄露集中爆發(fā)于2021年，但相關數據一直持續(xù)出現至2026年，部分信息竊取日志顯示，其中一些計算機可能確實遭到了主動感染，而非僅僅是被舊有泄露事件牽連。

再來看那些密碼。一位任職于"信息安全"崗位的上校，使用"FrankLampard"（英格蘭前足球運動員弗蘭克·蘭帕德的名字）作為密碼，似乎認為一位退役球星完全可以勝任守護國家機密的重任。某區(qū)級主管的密碼是"123456aA"，而另一位與匈牙利北約代表團相關的高級官員，密碼的含義翻譯成中文就是"可愛"。

類似情況還不止于此。一位準將用基于自己姓名的簡短昵稱注冊了一個電影節(jié)賬號。其他案例中，則充斥著姓名、簡單數字組合，以及那些看起來只設置過一次、此后從未更改過的密碼。

報告中還專門提到一個例子——"linkedinlinkedin"這個密碼，似乎是在領英（LinkedIn）早年數據泄露事件中被波及，之后卻依然繼續(xù)沿用，若說這至少體現了一種"一以貫之"的精神，倒也不假。

調查分析顯示，官員們習慣使用政府郵箱地址注冊各類第三方服務，并在這些服務上重復使用相同密碼。一旦這些第三方平臺遭遇數據泄露，相關憑證便會流入慣常的數據交易渠道。

Bellingcat還發(fā)現了與數十臺設備相關聯的信息竊取程序日志，部分日志的時間甚至距今不到一個月。這表明，此次事件并非僅僅是陳年舊泄露數據在市面上流轉，至少有部分設備可能正在遭受更為主動的滲透攻擊。

此次事件對匈牙利政府發(fā)出了嚴峻警示。當與核心政府職能相關的賬號憑證，和普通人被泄露的購物賬號、社交媒體密碼混雜在同一個泄露數據集里時，外界不禁要對相關機構究竟有多認真地對待基本網絡安全規(guī)范產生疑問。

這一切的發(fā)生，并不需要什么高超的黑客技術或零日漏洞，只需幾個糟糕的密碼、一些隨意的重復使用，再加上互聯網最擅長的那件事：把一切都記住。

Q&A

Q1：Bellingcat是如何發(fā)現匈牙利政府賬號泄露的？

A：Bellingcat通過分析在互聯網上流傳的數據泄露轉儲文件，發(fā)現了近800組匈牙利政府電子郵件與密碼配對信息。這些數據涉及幾乎所有主要政府部門，包括國防部、外交部和財政部。調查還發(fā)現了與數十臺設備相關的信息竊取程序日志，部分日志時間甚至距今不超過一個月，說明問題并非僅來自歷史舊數據。

Q2：匈牙利國防部的密碼泄露具體有多嚴重？

A：根據Bellingcat的調查，與匈牙利國防部員工相關的泄露記錄約有120條，涉及電子郵件、密碼和電話號碼。其中包括2023年北約電子學習平臺數據泄露事件的波及影響。泄露高峰集中在2021年，但相關數據持續(xù)出現至2026年。部分信息竊取日志還顯示，某些設備可能遭到了主動感染，而不僅僅是受歷史舊泄露事件牽連。

Q3：官員為什么會導致政府賬號密碼外泄？

A：主要原因有兩點：一是使用極弱的密碼，例如"FrankLampard""123456aA"或意為"可愛"的單詞，極易被破解；二是用政府郵箱注冊第三方平臺（如領英等），并在多個平臺上重復使用相同密碼。一旦這些第三方平臺遭遇數據泄露，政府賬號的憑證也隨之暴露，最終流入數據交易渠道。