Fast tausend ungarische Regierungspasswörter sind online durchgesickert

Fast 800 E-Mail-Adressen der ungarischen Regierung und die dazugehörigen Passwörter sind laut einer Untersuchung von Bellingcat im Internet aufgetaucht. Die Entdeckungen haben ernste Fragen über die Cybersicherheitspraktiken in wichtigen staatlichen Institutionen aufgeworfen.

Die Open-Source-Analyse hat 795 einzigartige E-Mail-Passwort-Kombinationen identifiziert, die mit offiziellen ungarischen Regierungsdomänen verknüpft sind. Erschreckenderweise waren 12 der 13 ungarischen Ministerien betroffen, darunter die für Verteidigung, Außenpolitik und Wirtschaftspolitik zuständigen Abteilungen. Einige der aufgedeckten Konten gehörten zu Personen, die in hochsensiblen Positionen arbeiten, darunter Militäroffiziere, Diplomaten und Cybersicherheitsspezialisten.

Große Macht, aber keine Verantwortung

Zu den Betroffenen gehörten ein hochrangiger Militärbeamter, der für die Informationssicherheit zuständig war, ein Koordinator für die Terrorismusbekämpfung im Außenministerium und ein Mitarbeiter, der für die Identifizierung hybrider Bedrohungen gegen das Land verantwortlich war. Die Aufdeckung solcher Konten zeigt die potenziellen Risiken, die durch unzureichende digitale Sicherheitsvorkehrungen entstehen, berichtet Bellingcat.

Die durchgesickerten Daten beschränkten sich nicht auf die Anmeldedaten. In mehreren Fällen waren auch weitere persönliche Informationen wie Telefonnummern, Adressen, Geburtsdaten und IP-Adressen in den Datenbanken der Angreifer enthalten. Diese Daten könnten für weitere Cyberangriffe oder Identitätsdiebstahl ausgenutzt werden.

Der ungarischen Regierung ist es nicht gelungen, die Theiss-Partei mit Spionage-Software zu stören? Kein Problem, sie haben eine andere.

Schlechte digitale Hygiene bei der ungarischen Regierung

Trotz des Ausmaßes des Lecks deuten die Ergebnisse nicht auf einen ausgeklügelten Hack der Regierungssysteme hin. Stattdessen weisen Experten auf eine schlechte “digitale Hygiene” bei den Benutzern hin. Viele Beamte haben Berichten zufolge schwache und leicht zu erratende Passwörter verwendet, darunter Variationen von “Passwort”, einfache Zahlenfolgen oder sogar ihre eigenen Namen.

In einigen Fällen wurden diese ungarischen Regierungs-E-Mail-Adressen verwendet, um sich auf nicht arbeitsbezogenen Plattformen wie Dating-, Unterhaltungs- oder Sport-Websites zu registrieren. Diese Praxis erhöht die Wahrscheinlichkeit erheblich, dass die Zugangsdaten bei nicht damit zusammenhängenden Datenschutzverletzungen offengelegt werden.

Cybersicherheitsspezialisten betonen, dass grundlegende Vorsichtsmaßnahmen – wie die Verwendung starker, eindeutiger Passwörter und die Aktivierung der Multi-Faktor-Authentifizierung – viele dieser Vorfälle hätten verhindern können.

Falls Sie es verpasst haben: “Verrat”: Ungarns Regierung wird von Frankreich wegen der Zusammenarbeit mit Russland scharf kritisiert.

Malware und Risiken der Datensynchronisation

Weitere Analysen ergaben, dass einige Datenschutzverletzungen möglicherweise mit Malware-Infektionen zusammenhängen. Sogenannte “Infostealer”-Programme können gespeicherte Anmeldedaten von infizierten Geräten abgreifen. Moderne Browser, die gespeicherte Passwörter oft über Cloud-Dienste geräteübergreifend synchronisieren, können das Problem ungewollt verstärken.

Wenn ein Benutzer beispielsweise Anmeldedaten auf einem Arbeitscomputer speichert und diese Daten mit einem privaten Gerät synchronisiert, das später kompromittiert wird, können die Daten von dort aus weitergegeben werden. Experten sind der Meinung, dass strengere Kontrollen bei der Speicherung und Synchronisierung von Passwörtern solche Risiken verringern könnten.

Leider handelt es sich hierbei nicht um einen Einzelfall, sondern um ein Muster von Problemen

Es ist nicht das erste Mal, dass Ungarns digitale Sicherheit auf dem Prüfstand steht. Im Jahr 2022 enthüllten Untersuchungsberichte, dass sich russische Geheimdienste Zugang zu den IT-Systemen des Außenministeriums verschafft hatten. Obwohl Beamte den Einbruch zunächst leugneten, deuteten spätere Dokumente darauf hin, dass der Angriff sowohl umfangreich als auch lange andauernd war.

Die jüngsten Enthüllungen dürften die Befürchtung verstärken, dass die Cybersicherheit in den Institutionen der ungarischen Regierung nicht als Priorität behandelt wird. Analysten argumentieren, dass ohne angemessene Sicherheitsvorkehrungen und Überwachungssysteme selbst geringfügige Schwachstellen zu erheblichen Risiken führen können.

Der Vorfall zeigt, dass strengere Maßnahmen erforderlich sind

Experten betonen, dass Regierungen, die mit sensiblen Daten umgehen, strengere Sicherheitsstandards einführen müssen. Dazu gehören die Durchsetzung komplexer Passwortrichtlinien, die Implementierung einer Multi-Faktor-Authentifizierung und die kontinuierliche Überwachung auf kompromittierte Anmeldedaten.

Der Fall zeigt auch, dass Angreifer oft das schwächste Glied – den einzelnen Benutzer – ausnutzen, anstatt zu versuchen, direkt in gut geschützte Systeme einzudringen. Daher kann die Sensibilisierung und Schulung der Mitarbeiter genauso wichtig sein wie die Investition in fortschrittliche Technologie.

Verfügbares Bild: depositphotos.com