Podle Recorded Future a Government Credentials on the Open Web je na internetu volně k dispozici množství přihlašovacích údajů vládních úředníků z až 47 vládních agentur Spojených států. Recorded Future upozorňuje, že dvanáct z těchto agentur umožňovalo přístupy bez použití dvou-faktorového ověření ještě na počátku letošního roku.
Volně dostupné přihlašovací údaje zaměstnanců mají řadu využití, od špionáže, sociálního inženýrství až po perfektně cílené útoky, které mohou vést k průniku do vnitřních sítí.
Uniklé přihlašovací údaje ukazují na starý známý problém, že uživatelé používají slabá hesla, vracejí se k dřívějším heslům a používají jedno heslo napříč různorodými systémy.
Na volně dostupných přihlašovacích údajích vládních úředníků a zaměstnanců je zajímavé ale i to, že Recorded Future je v zásadě našli prostým vyhledáváním na internetu, zejména různorodých službách, kam jsou ukládány soubory (17 služeb, včetně známé služby Pastebin.com).
V praxi se tam kombinace e-mailu a hesla objevila nikoliv jako důsledek hacku či úniku přímo ze systému vládní agentury, ale toho, že zaměstnanci a úředníci používali a používají pracovní maily na dalších webech. A tam došlo ke kompromitaci.
Jednoduchost používaných hesel navíc zvyšuje úspěch při jejich rozšifrování, pokud byl únik pouze v podobě šifrovaných/hashovaných hesel. V řadě úniků přihlašovacích údajů se ale objevují i přímo hesla v čisté textové podobě.