匈牙利政府账号密码泄露，"FrankLampard"竟成国家机密守门人

匈牙利政府近日以惨痛的教训发现，国家安全最大的威胁，或许正是本国官员自己选择的密码。

调查机构Bellingcat的一项调查揭露，近800组匈牙利政府电子邮件与密码配对信息已在各类数据泄露转储文件中广泛流传，涉及几乎所有主要政府部门，从国防部、外交部到财政部，无一幸免。

这次事件看起来并非有人强行入侵，而更像是官员们自己把门敞开了。弱密码、在不该重复使用的地方反复使用，最终流落到它们注定会去的地方。

国防部的数据尤为值得关注。Bellingcat统计，与国防部员工相关的泄露记录约有120条，其中包括2023年北约电子学习平台遭遇数据泄露后波及的电子邮件、密码和电话号码。大部分泄露集中爆发于2021年，但相关数据一直持续出现至2026年，部分信息窃取日志显示，其中一些计算机可能确实遭到了主动感染，而非仅仅是被旧有泄露事件牵连。

再来看那些密码。一位任职于"信息安全"岗位的上校，使用"FrankLampard"（英格兰前足球运动员弗兰克·兰帕德的名字）作为密码，似乎认为一位退役球星完全可以胜任守护国家机密的重任。某区级主管的密码是"123456aA"，而另一位与匈牙利北约代表团相关的高级官员，密码的含义翻译成中文就是"可爱"。

类似情况还不止于此。一位准将用基于自己姓名的简短昵称注册了一个电影节账号。其他案例中，则充斥着姓名、简单数字组合，以及那些看起来只设置过一次、此后从未更改过的密码。

报告中还专门提到一个例子——"linkedinlinkedin"这个密码，似乎是在领英（LinkedIn）早年数据泄露事件中被波及，之后却依然继续沿用，若说这至少体现了一种"一以贯之"的精神，倒也不假。

调查分析显示，官员们习惯使用政府邮箱地址注册各类第三方服务，并在这些服务上重复使用相同密码。一旦这些第三方平台遭遇数据泄露，相关凭证便会流入惯常的数据交易渠道。

Bellingcat还发现了与数十台设备相关联的信息窃取程序日志，部分日志的时间甚至距今不到一个月。这表明，此次事件并非仅仅是陈年旧泄露数据在市面上流转，至少有部分设备可能正在遭受更为主动的渗透攻击。

此次事件对匈牙利政府发出了严峻警示。当与核心政府职能相关的账号凭证，和普通人被泄露的购物账号、社交媒体密码混杂在同一个泄露数据集里时，外界不禁要对相关机构究竟有多认真地对待基本网络安全规范产生疑问。

这一切的发生，并不需要什么高超的黑客技术或零日漏洞，只需几个糟糕的密码、一些随意的重复使用，再加上互联网最擅长的那件事：把一切都记住。

Q&A

Q1：Bellingcat是如何发现匈牙利政府账号泄露的？

A：Bellingcat通过分析在互联网上流传的数据泄露转储文件，发现了近800组匈牙利政府电子邮件与密码配对信息。这些数据涉及几乎所有主要政府部门，包括国防部、外交部和财政部。调查还发现了与数十台设备相关的信息窃取程序日志，部分日志时间甚至距今不超过一个月，说明问题并非仅来自历史旧数据。

Q2：匈牙利国防部的密码泄露具体有多严重？

A：根据Bellingcat的调查，与匈牙利国防部员工相关的泄露记录约有120条，涉及电子邮件、密码和电话号码。其中包括2023年北约电子学习平台数据泄露事件的波及影响。泄露高峰集中在2021年，但相关数据持续出现至2026年。部分信息窃取日志还显示，某些设备可能遭到了主动感染，而不仅仅是受历史旧泄露事件牵连。

Q3：官员为什么会导致政府账号密码外泄？

A：主要原因有两点：一是使用极弱的密码，例如"FrankLampard""123456aA"或意为"可爱"的单词，极易被破解；二是用政府邮箱注册第三方平台（如领英等），并在多个平台上重复使用相同密码。一旦这些第三方平台遭遇数据泄露，政府账号的凭证也随之暴露，最终流入数据交易渠道。