В мережі опинилися майже 800 електронних адрес угорських урядовців та їхні паролі, що свідчить про базові вразливості у системах безпеки міністерств, які працюють з конфіденційною інформацією.
Аналіз даних витоків, проведений Bellingcat, показав, що постраждали 12 з 13 міністерств країни. У деяких випадках це призвело до розкриття конфіденційної інформації військових та державних службовців, які працюють за кордоном.
Серед тих, чиї дані були скомпрометовані, опинився високопоставлений військовий, відповідальний за інформаційну безпеку, координатор боротьби з тероризмом у МЗС, а також співробітник, який займався виявленням гібридних загроз для країни.
Ці викриття збіглися з часом, коли угорці готуються до виборів у неділю, де визначатимуть, чи буде Віктор Орбан, лідер правої популістської партії “Фідес” та найдовше в історії країни прем’єр-міністр, обраний на п’ятий поспіль термін.
Це не перший випадок виявлення недоліків у системі IT-безпеки угорського уряду. У 2022 році, напередодні минулих виборів в Угорщині, видання Direkt36 повідомило, що російські спецслужби отримали доступ до комп’ютерної мережі угорського МЗС, включно з внутрішніми каналами зв’язку.
Зазначалося, що російські кібератаки на угорський уряд тривають щонайменше десятиліття і поширювалися на зашифровану мережу МЗС для передачі секретних даних та конфіденційних дипломатичних документів.
Тоді МЗС заперечувало факт злому. Однак у 2024 році видання 444 опублікувало лист від Національної служби безпеки Угорщини до МЗС, надісланий за шість місяців до першого повідомлення про кібератаку. Лист пов’язував атаки з Росією та описував понад 4000 робочих станцій і 930 серверів як “ненадійні”.
У рамках нового аналізу Bellingcat ідентифікував загалом 795 унікальних комбінацій електронних адрес та паролів серед тисяч результатів пошуку за угорськими урядовими доменами у базах даних витоків. Найбільше постраждали ключові департаменти, що займаються державним управлінням, обороною, зовнішніми зносинами та фінансами.
Аналіз не охоплює центральні державні установи, які підпорядковуються офіційним міністерствам уряду та використовують окремі домени, такі як податкова та митна адміністрація чи поліція. Це означає, що витоки, які стосуються державних службовців, можуть бути ще масштабнішими.
Отримані дані не свідчать про високотехнологічне проникнення в угорські державні системи. Натомість наш аналіз вказує на те, що витоки, ймовірно, є наслідком поганої цифрової гігієни. У багатьох випадках співробітники використовували прості паролі разом зі своїми урядовими електронними адресами для неробочих цілей, таких як реєстрація на сайтах знайомств, музичних, спортивних та кулінарних порталах.
Деякі державні службовці використовували легкі для вгадування паролі, наприклад, варіації слова “Password” або послідовність цифр “1234567”. Один співробітник, чиї облікові дані були розкриті під час витоку даних LinkedIn у 2012 році, використав пароль “linkedinlinkedin”. Інший, з міністерства оборони, використав своє прізвище. Один з паролів, що потрапив у витік від співробітника МЗС, був “embassy13hungary”.
Крім того, численні витоки містили телефонні номери, адреси, дати народження, імена користувачів та IP-адреси – дані, які, будучи розкритими, можуть становити ризик для безпеки.
Також пошук у базах даних витоків виявив випадки зараження комп’ютерів шкідливим програмним забезпеченням, розробленим для викрадення облікових даних. Ці записи свідчать, що 97 машин у різних угорських державних відомствах були скомпрометовані, а дані з логів крадіжок були виявлені ще минулого місяця.
Bellingcat намагався зв’язатися з речником угорського уряду та канцелярією прем’єр-міністра, але не отримав відповіді.
Найслабша ланка: пошук у базах даних витоків
Бази даних витоків – це великі колекції облікових даних, зібраних під час попередніх кіберінцидентів. Ці бази можна сканувати за доменом, щоб ідентифікувати електронні адреси, що належать певній організації, компанії чи уряду.
Bellingcat використовував Darkside, платний сервіс від District 4 Labs, для пошуку за основними електронними доменами, призначеними для кожного з 13 міністерств угорського уряду.
Загалом було виявлено 795 витоків, що містили урядові електронні адреси та відповідні паролі. Однак більшість – 641 витік – були пов’язані лише з чотирма центральними установами.
У детально описаних нижче прикладах співробітники були анонімізовані. Проте Bellingcat підтвердив справжність цих облікових записів, перехресно звіривши імена співробітників, згаданих у витоках, з повідомленнями у ЗМІ та онлайн-профілями, наприклад, у LinkedIn.
Міністерство внутрішніх справ – це “суперміністерство” курує все, від охорони здоров’я та освіти до поліції, імміграції, управління надзвичайними ситуаціями та місцевого самоврядування.
Bellingcat виявив 170 комплектів електронних адрес та паролів, пов’язаних з доменом, який використовує міністерство, відповідальне за внутрішні справи. Серед паролів, використаних співробітниками цього департаменту, були “Arsenal” та “Paprika”. Деякі використовували паролі, що складалися лише з трьох або чотирьох літер. Ми відстежили ці облікові записи до професійних профілів та урядових веб-сторінок, де були вказані як молодші, так і старші співробітники.
Один високопоставлений чиновник пенітенціарної служби використовував пароль “adolf”. Після його появи в базах даних витоків пароль було змінено двічі – спочатку на п’ятизначне число, а потім на те, що, здавалося, було ім’ям домашнього улюбленця. Згодом паролі знову потрапили у витік. Bellingcat ідентифікував цього співробітника через численні випадки згадування його імені та електронної адреси в загальнодоступній документації, зокрема в прес-релізі, присвяченому нагородженню за видатну професійну роботу.
Міністерство оборони – відповідає за політику національної оборони та керівництво збройними силами країни.
Облікові дані співробітників Міністерства оборони були знайдені у 120 скомпрометованих записах. Це включає витік даних з навчальних сервісів НАТО у 2023 році, в результаті якого 42 записи з електронними адресами, паролями та телефонними номерами стали загальнодоступними.
Пік витоків припав на 2021 рік, але вони продовжувалися до 2026 року. Серед виявлених даних були лог-файли крадіжок, що вказує на можливе зараження комп’ютерів у департаменті.
Були ідентифіковані військовослужбовці від молодших рангів до командних посад. Бригадний генерал використав поширене шестилітерне прізвисько, похідне від власного, для реєстрації на кінофестивалі. Полковник, який спеціалізувався на “інформаційній безпеці”, взяв натхнення від англійського футбольного тренера для свого пароля: “FrankLampard”. Районний директор використовував пароль “123456aA”, тоді як високопоставлений член угорської делегації до НАТО використав пароль, який англійською перекладається як “cute” (милий).
Міністерство закордонних справ та торгівлі – відповідає за міжнародні відносини; угорські посольства та консульства діють під керівництвом цього департаменту.
Облікові дані чинних та колишніх співробітників МЗС були розкриті в десятках витоків даних з 2011 року до лютого 2026 року. Загалом було виявлено 107 комбінацій електронних адрес та паролів, пов’язаних з цим міністерством.
Серед постраждалих співробітників були заступник голови місії, консули, дипломати та співробітники з комунікацій, які працювали в Європі, Америці та на Близькому Сході. Серед них – координатор боротьби з тероризмом, речник ЄС та особа, відповідальна за виявлення гібридних загроз для Угорщини.
Хоча пік витоків припав на 2020 рік, коли електронні адреси з МЗС були знайдені в 42 окремих витоках, проіндексованих Darkside, з початку 2024 року електронні адреси з цього міністерства розповсюджувалися, часто з паролями, у 36 окремих витоках. Найновіші витоки датуються 2026 роком.
Прості паролі, схоже, зробили Міністерство закордонних справ Угорщини вразливим. У деяких випадках співробітники використовували пароль, що складався з власного імені та двозначного числа. Інші, здається, брали натхнення з поп-культури: “porsche911”, “frogger” та “Batman2013” – це приклади реальних паролів, використаних співробітниками.
Міністерство національної економіки – займається економічною політикою та фінансовою стратегією, включно з підготовкою бюджету та скороченням державного боргу.
Аналіз Bellingcat показує, що співробітники Міністерства національної економіки постраждали від 99 витоків. Міністерство фінансів, яке було об’єднане з цим департаментом у 2025 році, зазнало 145 витоків.
Серед викрадених даних були облікові дані заступника державного секретаря, який використовував пароль “snoopy”. Інші співробітники використовували свою дату народження або слово “Jelszo” – угорське слово, що означає “пароль”.
Старший радник, який наразі працює в міністерстві, мав свої облікові дані скомпрометовані чотири рази з чотирма різними паролями, включно з “Kurvaanyad1” (що приблизно перекладається як “твоя мати – повія”).
Кібербезпека не сприймається серйозно
Саболч Дуль, політичний аналітик та колишній головний редактор незалежних угорських новинних сайтів Index та Telex, заявив, що уряд не надав пріоритету безпеці даних.
“З виявлених витоків даних чітко видно, що урядові установи не ставилися до безпеки даних серйозно”, – сказав він.
“Ця підозра виникла ще тоді, коли російські хакери зламали ІТ-систему МЗС. Саме тому я вважаю, що угорські політики та громадськість сприймуть цю нову інформацію як продовження та підтвердження історії про російські хакерські атаки”.
Дуль додав, що йому не відомо про жодні розслідування, розпочаті після викриттів 2022 року щодо російського зламу.
Ката Кінчо Бардош, експерт з кібербезпеки в Угорщині, зазначила, що важко зрозуміти, чому суворіші заходи контролю не застосовуються послідовно в урядових середовищах, що обробляють чутливі дані.
Вона сказала, що уряди повинні не лише застосовувати базові правила щодо паролів – наприклад, співробітники повинні використовувати довгі, унікальні паролі та багатофакторну автентифікацію (MFA) – але й постійно моніторити скомпрометовані облікові дані та підозрілі патерни доступу.
“Без MFA системи стають значно більш вразливими до поширених методів атак, таких як фішинг та використання скомпрометованих облікових даних (credential stuffing)”, – сказала вона. “Один скомпрометований пароль може надати негайний доступ до внутрішніх систем”.
Бардош додала, що несанкціонований доступ до урядових систем має автоматично запускати процедури реагування на інциденти, розслідування та заходи стримування.
“Також важливо зазначити, що націлювання на низькорівневих співробітників є добре документованою та поширеною тактикою”, – сказала вона. “Зловмисники часто отримують початковий доступ через фішинг або слабкі облікові дані, а потім рухаються латерально в межах систем”.
Росс Хіггінс з Bellingcat та журналістка-розслідувачка Єва Вайда зробили внесок у цю статтю.
Bellingcat – це некомерційна організація, і можливість виконувати нашу роботу залежить від підтримки індивідуальних донорів. Якщо ви хочете підтримати нашу діяльність, ви можете зробити це тут. Ви також можете підписатися на наш Patreon канал тут. Підпишіться на нашу розсилку та слідкуйте за нами у Bluesky тут, Instagram тут, Reddit тут та YouTube тут.
Порада від Шефа:
Ніколи не використовуйте особисту інформацію (імена близьких, дати народження, назви улюбленців) або прості комбінації (123456, qwerty) як паролі. Навіть якщо це здається зручним, ризик зламу значно зростає. Спробуйте генерувати складні паролі за допомогою менеджерів паролів – це безпечніше та ефективніше.
За даними порталу: www.bellingcat.com