Szele Tamás: A jelszó-botrány

Holnap nagy nap lesz, választás napja, amikor sok minden eldől – de ma még ma van, foglalkozhatunk a napi hírekkel is. Sőt, a tegnapiakkal, mert a magyar sajtó a nagy választási kampányban csak felületesen foglalkozott a Bellingcat által kirobbantott magyar jelszó-botránnyal, pedig nagyon sokat elárul a mostani kormányzat minőségéről és szakértelméről – ha a következő is ilyen lesz, Magyarország lehúzhatja a rolót.

Én az esetet a Bellingcat eredeti írása alapján közlöm, megjegyzéseimet szokás szerint csillag alatt teszem meg a bekezdések végén.

Történt pedig, hogy közel 800 magyar kormányzati e-mail-cím és a hozzájuk tartozó jelszavak szivárogtak ki az internetre, ami alapvető biztonsági hiányosságokat tár fel a titkos és érzékeny feladatokkal foglalkozó budapesti minisztériumok biztonsági protokolljaiban.

A Bellingcat által elvégzett, az adatlopással kapcsolatos elemzésből kiderül, hogy a jelenlegi kormány 13 minisztériumából 12 érintett, néhány esetben pedig külföldön szolgálatot teljesítő katonai állomány és állami tisztviselők bizalmas adatai is nyilvánosságra kerültek.

Az érintettek között volt egy információbiztonságért felelős magas rangú katonatiszt, a külügyminisztérium terrorizmusellenes koordinátora, valamint egy olyan alkalmazott, akinek feladata az országot fenyegető hibrid fenyegetések felismerése.

A leleplezések a vasárnapi választások előtt láttak napvillágot, melyek során a magyar nép eldönti, hogy Orbán Viktor, a jobboldali populista Fidesz vezetője és az ország leghosszabb ideje hivatalban lévő miniszterelnöke, megkapja-e az ötödik mandátumát.

Nem ez az első alkalom, hogy a magyar kormány informatikai biztonságának hiányosságai napvilágra kerülnek. 2022-ben, a legutóbbi magyar választások előtt a Direkt36 beszámolt arról, hogy az orosz titkosszolgálatok hozzáférést nyertek a magyar külügyminisztérium számítógépes hálózatához, beleértve annak belső kommunikációs csatornáit is.*

*Igen, ez igaz, bár szerintem felesleges volt feltörni a magyar külügy rendszereit is: szerintem elég lett volna felhívni Szijjártót telefonon, megadta volna az összes jelszót, ha kérik.

A jelentés szerint legalább egy évtizede folytak orosz kibertámadások a magyar kormány ellen, és ezek kiterjedtek a külügyminisztérium titkosított hálózatára is, amelyen keresztül titkos adatokat és bizalmas diplomáciai dokumentumokat továbbítottak.

Akkor a külügyminisztérium tagadta, hogy feltörték volna a rendszereit. 2024-ben azonban a 444 hírportál közzétett egy levelet, amelyet a Magyar Nemzetbiztonsági Szolgálat küldött a külügyminisztériumnak hat hónappal azelőtt, hogy a kibertámadásról először beszámoltak. A levél Oroszországgal hozta összefüggésbe a támadásokat, és több mint 4000 munkaállomást és 930 szervert minősített „megbízhatatlannak”.

Ezen új elemzés részeként a Bellingcat összesen 795 egyedi e-mail-cím és -jelszó-kombinációt azonosított a magyar kormányzati domainnevekre vonatkozó, lopott adatokat tartalmazó adatbázisokban található több ezer keresési eredmény között. A leginkább az ország kormányzását, védelmét, külügyeit és pénzügyeit kezelő, kulcsfontosságú minisztériumokat érintette a támadás.

Az elemzés nem tartalmazza azokat a központi kormányzati szerveket, amelyek a kormány hivatalos minisztériumai irányítása alatt működnek és külön domainneveket használnak, mint például az adó- és vámhivatal vagy a rendőrség – ami azt jelenti, hogy a kormányzati alkalmazottakat érintő adatvédelmi incidensek még szélesebb körűek lehetnek.

Az eredmények nem bizonyítják a magyar kormányzati rendszerekbe történő high-tech behatolást. Az elemzés inkább arra utal, hogy az adatvédelmi incidensek valószínűleg a rossz digitális higiénia következményei. Sok esetben a munkatársak egyszerű jelszavakat használtak kormányzati e-mail címeikkel együtt olyan, látszólag nem munkával kapcsolatos ügyekben, mint például társkereső, zenei, sport- és étkezési weboldalakra való regisztráció.

Néhány kormányzati alkalmazott könnyen kitalálható jelszavakat használt, például a Jelszó” kifejezés variációit vagy a „1234567” számkombinációt. Az egyik alkalmazott, akinek a hitelesítő adatai egy 2012-es LinkedIn-támadás során kerültek nyilvánosságra, a „linkedinlinkedin” jelszót használta. Egy másik, a védelmi minisztériumban dolgozó alkalmazott a vezetéknevét adta meg. A külügyminisztérium egyik alkalmazottjától kiszivárgott jelszó az „embassy13hungary” volt.

Számos adatlopás során telefonszámok, címek, születési dátumok, felhasználónevek és IP-címek is kiszivárogtak – olyan adatok, amelyek nyilvánosságra kerülése komoly biztonsági kockázatot jelenthet.

Ezen felül a lopott adatok adatbázisainak átkutatása olyan eseteket tárt fel, amikor számítógépeket bizonyos rosszindulatú programokkal fertőzék meg, amelyek a bejelentkezési adatok ellopására szolgálnak. Ezek a feljegyzések azt mutatják, hogy a magyar kormányzati szerveknél összesen 97 gépet támadtak meg, és az adatok között olyan lopási naplófájlok is szerepelnek, amelyek még a múlt hónapból származnak.

A Bellingcat felvette a kapcsolatot a magyar kormány szóvivőjével és a miniszterelnöki hivatallal, de nem kapott választ.*

*Így, választási kampány alatt azt csodálnám, ha kaptak volna bármiféle választ.

A leggyengébb láncszem: keresés az ellopott információk adatbázisaiban

Az adatlopási adatbázisok korábbi kiberbiztonsági incidensekből gyűjtött hitelesítő adatok hatalmas gyűjteményei. Ezekben az adatbázisokban domain-név alapján lehet keresni, hogy azonosítsák egy adott szervezethez, vállalathoz vagy kormányhoz tartozó e-mail címeket.

A Bellingcat a District 4 Labs fizetős szolgáltatását, a Darkside-ot használta, hogy átkutassa a magyar kormány 13 minisztériumának mindegyikéhez rendelt fő e-mail domainjeit.*

*Mielőtt valaki megint elkezd visítozni, hogy „a Bellingcat kémkedett a nagyra kormány ellen”, jelezném, hogy 1. ez nem kémkedés, 2. nem Magyarország ellen zajlott a vizsgálat, hanem Magyarország érdekében.

Összesen 795 olyan adatlopást azonosítottak, amelyek kormányzati e-maileket és a hozzájuk tartozó jelszavakat tartalmaztak. De a legtöbb – 641 incidens – csupán négy központi intézményhez kapcsolódott.

Az alábbi példákban az érintett személyzetet anonimizálták. A Bellingcat azonban megerősítette, hogy ezek a fiókok valódiak, az adatlopásokban megnevezett alkalmazottakat összevetve a médiában megjelent hírekkel és online profilokkal, például a LinkedIn-en. Lássuk, milyen minisztériumok érintettek az ügyben.

Belügyminisztérium – ez a „szuperminisztérium” mindent felügyel Magyarországon az egészségügytől és az oktatástól kezdve a rendőrségen, a bevándorláson át, a katasztrófavédelemig és a helyi önkormányzatokig.

A Bellingcat 170 e-mail-címet és jelszót azonosított, amelyek a belügyekért felelős minisztérium által használt domainhez kapcsolódnak. Az osztály munkatársai által használt jelszavak között szerepelt az „Arsenal” és a „Paprika” is. Néhányan csak három vagy négy betűből álló jelszavakat használtak. Ezeket a fiókokat szakmai profilokhoz és kormányzati weboldalakhoz lehetett visszavezetni, amelyek mind az alacsonyabb, mind a magasabb beosztású alkalmazottakat felsorolták.

A büntetés-végrehajtás egyik magas rangú tisztviselője az „adolf” jelszót használta. Miután a jelszó felbukkant az adatlopási adatbázisokban, kétszer is megváltoztatták – először egy ötjegyű számra, majd egy kutyáénak tűnő névre. A jelszavakat később ismét feltörték. A Bellingcat több nyilvános dokumentumban szereplő név és e-mail cím alapján azonosította ezt a munkatársat, többek között egy kiemelkedő szakmai munkáért járó díj átadását ünneplő sajtóközleményben.

Honvédelmi Minisztérium – ez felelős Magyarországon a nemzetvédelmi politikáért és az ország védelmi erőinek irányításáért

A Honvédelmi Minisztériumban dolgozó alkalmazottak hitelesítő adatai 120 feltört rekordban kerültek elő. Ide tartozik a NATO e-tanulási szolgáltatásainak 2023-as adatlopása is, amelynek eredményeként 42 rekord – e-mail címekkel, jelszavakkal és telefonszámokkal – került nyilvánosságra.

Az adatlopások mennyisége 2021-ben érte el csúcspontját, de 2026-ig folytatódtak. Adathalászok naplófáljljai is szerepeltek az információk között, ami arra utal, hogy a minisztériumon belüli gépek megfertőződhettek.

A katonai állományt a legalacsonyabb rangúaktól a parancsnoki pozíciókig azonosították. Egy dandártábornok egy filmfesztiválra való regisztrációhoz a saját nevére épülő, hat betűs becenevet használt. Egy „információbiztonságra” szakosodott ezredes egy angol labdarúgóedzőtől merített ihletet jelszavához, mely „FrankLampard” volt.

Egy kerületi igazgató a „123456aA” jelszót használta, míg a magyar NATO-küldöttség egyik magas rangú tagja a „cukimuki” jelszót használta.*

*Azért ez még engem is meglepett...

Külgazdasági és Külügyi Minisztérium – Ez a nemzetközi kapcsolatokért felelős, a magyar nagykövetségek és konzulátusok is ennek az irányítása alatt működnek

A jelenlegi és korábbi külügyi személyzet hitelesítő adatai 2011 és 2026 februárja között több tucat adatlopás során kerültek nyilvánosságra. Összesen 107 e-mail-cím és -jelszó-kombináció kapcsolódott ehhez a kormányzati minisztériumhoz.

Az érintett állományhoz tartozott egy misszióvezető-helyettes, konzulok, diplomaták és kommunikációs személyzet, akik Európában, Amerikában és a Közel-Keleten teljesítettek szolgálatot. Ezek között volt egy terrorizmusellenes koordinátor, egy EU-szóvivő, valamint egy olyan személy, akinek a feladata a Magyarországot fenyegető hibrid fenyegetések azonosítása volt.

Bár a magyar külügyi adatlopások száma 2020-ban érte el a csúcspontját – ekkor a Darkside által indexelt 42 különálló incidens során találtakfeltört e-maileket –, 2024 eleje óta 36 különálló incidens során kerültek forgalomba a külügyminisztérium e-mailjei, gyakran jelszavakkal együtt. A legutóbbi incidensek 2026-ban történtek.

Úgy tűnik, hogy az egyszerű jelszavak miatt a magyar külügyminisztérium sebezhetővé vált. Egyes esetekben a munkatársak a saját nevükből és egy kétjegyű számból álló jelszót használtak. Mások a popkultúrából merítettek ihletet. Ilyenek a „porsche911”, a „frogger” és a „Batman2013”, melyek jellemző példák a személyzet által használt valódi jelszavakra.

Nemzetgazdasági Minisztérium – Ez felügyeli a magyar gazdaságpolitikát és a pénzügyi stratégiát, beleértve a költségvetés előkészítését és az államadósság csökkentését

A Bellingcat elemzése szerint a Nemzetgazdasági Minisztérium alkalmazottai összesen 99 adatvédelmi incidens áldozatául estek. A Pénzügyminisztérium, amelyet 2025-ben beolvasztottak ebbe a minisztériumba, 145 incidenssel szembesült.

A feltört adatok között voltak egy államtitkár-helyettes hitelesítő adatai is, aki a „Floki” jelszót használta. Más alkalmazottak a születési dátumukat vagy a „Jelszó” kifejezést használták.

Egy jelenleg a minisztériumban dolgozó vezető tanácsadó hitelesítő adatait négy alkalommal törtek fel négy különböző jelszóval, köztük a „Kurvaanyad1”-el is.*

*Pedig ez már üzenetértékű volt...

A kiberbiztonságot nem veszik komolyan

Dull Szabolcs, politikai elemző és független magyar hírportálok, például a régi Index és a Telex korábbi főszerkesztője szerint:

„A napvilágra került adatlopások alapján egyértelműen kiderül, hogy a kormányzati szervek nem vették komolyan az adatbiztonságot. Ez a gyanú már akkor felmerült, amikor orosz hackerek feltörték a külügyminisztérium informatikai rendszerét. Ezért úgy hiszem, hogy a magyar politikusok és a közvélemény ezt az új információt az orosz hackertámadás történetének folytatásaként és megerősítéseként fogja értelmezni.”

Dull hozzátette, hogy nincs tudomása arról, miszerint a 2022-es orosz hackertámadás kiderülése után bármilyen vizsgálatot indítottak volna.

Bárdos Kincső Kata, magyar kiberbiztonsági szakértő szerint nehéz megérteni, miért nem alkalmazzák következetesen a szigorúbb ellenőrzéseket az érzékeny adatokat kezelő kormányzati környezetekben.

Szerinte a kormányoknak nem csupán alapvető szabályokat kellene alkalmazniuk a jelszavakra vonatkozóan – például hogy a személyzet hosszú, egyedi jelszavakat és többfaktoros hitelesítést (MFA) használjon –, hanem folyamatosan figyelniük kellene a kompromittált hitelesítő adatokra és a gyanús hozzáférési mintákra is.

„MFA nélkül a rendszerek jelentősen sebezhetőbbé válnak olyan gyakori támadási módszerekkel szemben, mint a phishing és a credential stuffing” – mondta. „Egyetlen kompromittált jelszó is azonnali hozzáférést biztosíthat a belső rendszerekhez.”

Bárdos hozzátette, hogy a kormányzati rendszerekhez való jogosulatlan hozzáférésnek automatikusan incidenskezelési eljárásokat, vizsgálatot és korlátozó intézkedéseket kellene kiváltania.

„Fontos megjegyezni azt is, hogy az alacsonyabb beosztású alkalmazottak megcélzása jól dokumentált és gyakori taktika” – mondta. „A támadók gyakran adathalászattal vagy gyenge hitelesítő adatokkal szereznek kezdeti hozzáférést, majd ennek birtokában mozognak a rendszereken belül.”

Kérem, ilyen szakértők dolgoznak a magyar minisztériumokban. Ennek tudatában tessék holnap szavazni. Azért nem mindegy, hogy a következő miniszter Floki lesz, Cukimuki vagy esetleg valaki, aki nem műszaki analfabéta.

Szele Tamás