Bê bối bảo mật: Chính phủ Hungary dùng tên cầu thủ Frank Lampard làm mật khẩu
Cuộc điều tra của Bellingcat đã phát hiện gần 800 cặp email và mật khẩu của chính phủ Hungary đang lưu hành trên các dữ liệu bị lộ. Sự việc nhấn mạnh vào lỗ hổng nghiêm trọng về an ninh mạng do thói quen đặt mật khẩu yếu và tái sử dụng chúng trên nhiều dịch vụ khác nhau.
Chính phủ Hungary vừa phải đối mặt với một sự việc nhục nhã khi phát hiện ra rằng mối đe dọa lớn nhất đối với an ninh quốc gia có thể chính là thói quen đặt mật khẩu của chính các quan chức nước này.
Một cuộc điều tra mới đây từ nhóm Bellingcat đã phát hiện gần 800 cặp email và mật khẩu thuộc về chính phủ Hungary đang lưu hành công khai trên các bộ dữ liệu bị lộ (breach dumps). Những tài khoản này trải dài trên hầu hết các bộ quan trọng, từ quốc phòng, ngoại giao cho đến tài chính.
Mật khẩu "đỉnh cao" và thiếu chuyên nghiệp
Thay vì các cuộc tấn công mạng tinh vi, nguyên nhân chính ở đây là sự lơ là trong bảo mật cơ bản. Bellingcat chỉ ra nhiều ví dụ điển hình về việc sử dụng mật khẩu yếu và dễ đoán.
Một Đại tá làm việc tại bộ phận "an ninh thông tin" đã sử dụng mật khẩu là "FrankLampard" — tên một cựu cầu thủ bóng đá nổi tiếng của Anh — coi như người bảo vệ cho bí mật nhà nước. Một Giám đốc quận thì chọn mật khẩu "123456aA", trong khi một nhân vật cấp cao khác trong phái đoàn Hungary tại NATO lại dùng mật khẩu có nghĩa là "dễ thương" trong tiếng Anh.
Một Thiếu tướng thậm chí còn dùng một biệt danh ngắn dựa trên tên thật của mình để đăng ký tham dự một lễ hội phim. Những ví dụ này cho thấy sự thiếu nghiêm túc trong việc bảo vệ danh tính số.
Tái sử dụng và rủi ro từ bên thứ ba
Báo cáo cũng chỉ ra rằng các quan chức thường sử dụng email công vụ để đăng ký các dịch vụ bên thứ ba và sau đó tái sử dụng cùng một mật khẩu cho nhiều nền tảng.
Một ví dụ điển hình là mật khẩu "linkedinlinkedin". Tài khoản này dường như đã bị ảnh hưởng bởi vụ lộ dữ liệu LinkedIn cũ, nhưng người dùng vẫn tiếp tục sử dụng nó cho các dịch vụ khác. Khi các trang web bên thứ ba bị tấn công, thông tin đăng nhập của chính phủ cũng bị kéo theo và rơi vào tay tội phạm mạng.
Nguy cơ từ phần mềm đánh cắp dữ liệu
Không chỉ dừng lại ở các dữ liệu cũ, Bellingcat còn tìm thấy các nhật ký của phần mềm đánh cắp thông tin (infostealer logs) gắn với hàng chục máy tính, một số trong đó còn mới từ tháng trước. Điều này cho thấy không chỉ là dữ liệu cũ bị rò rỉ, mà có thể một số thiết bị hiện tại đang bị nhiễm độc tích cực.
Đặc biệt đáng lo ngại là dữ liệu thuộc về Bộ Quốc phòng, với khoảng 120 hồ sơ bị xâm phạm. Một phần xuất phát từ vụ tấn công nền tảng eLearning của NATO vào năm 2023, làm lộ email, mật khẩu và số điện thoại.
Bài học về vệ sinh an ninh
Vụ việc này là một lời cảnh báo mạnh mẽ cho chính phủ Hungary. Khi thông tin đăng nhập liên quan đến các chức năng cốt lõi của nhà nước bị trộn lẫn với các tài khoản mua sắm và mạng xã hội bị lộ của người dùng bình thường, nó đặt ra câu hỏi lớn về mức độ nghiêm túc trong việc thực hiện các quy trình an ninh cơ bản.
Không cần công cụ hack tinh vi hay lỗ hổng zero-day. Chỉ cần vài mật khẩu tồi, thói quen tái sử dụng và internet — nơi ghi nhớ mọi thứ — là đủ để gây ra một cuộc khủng hoảng an ninh.
