Hlavní navigace

Ukradené přihlašovací údaje vládních úředníků z USA jsou volně na internetu

Autor: Chris Samuel
Daniel Dočekal

Až 47 vládních agentur napříč 89 doménami, takový je rozsah přihlašovacích údajů volně dostupných na internetu.

Podle Recorded Future a Government Credentials on the Open Web je na internetu volně k dispozici množství přihlašovacích údajů vládních úředníků z až 47 vládních agentur Spojených států. Recorded Future upozorňuje, že dvanáct z těchto agentur umožňovalo přístupy bez použití dvou-faktorového ověření ještě na počátku letošního roku.

Volně dostupné přihlašovací údaje zaměstnanců mají řadu využití, od špionáže, sociálního inženýrství až po perfektně cílené útoky, které mohou vést k průniku do vnitřních sítí.

Uniklé přihlašovací údaje ukazují na starý známý problém, že uživatelé používají slabá hesla, vracejí se k dřívějším heslům a používají jedno heslo napříč různorodými systémy.

Na volně dostupných přihlašovacích údajích vládních úředníků a zaměstnanců je zajímavé ale i to, že Recorded Future je v zásadě našli prostým vyhledáváním na internetu, zejména různorodých službách, kam jsou ukládány soubory (17 služeb, včetně známé služby Pastebin.com). 

KL17-nominace

V praxi se tam kombinace e-mailu a hesla objevila nikoliv jako důsledek hacku či úniku přímo ze systému vládní agentury, ale toho, že zaměstnanci a úředníci používali a používají pracovní maily na dalších webech. A tam došlo ke kompromitaci.

Jednoduchost používaných hesel navíc zvyšuje úspěch při jejich rozšifrování, pokud byl únik pouze v podobě šifrovaných/hashovaných hesel. V řadě úniků přihlašovacích údajů se ale objevují i přímo hesla v čisté textové podobě.

Našli jste v článku chybu?