Η διαρροή κωδικών στο σκοτεινό διαδίκτυο
Σύμφωνα με έρευνα της NordPass, οι κωδικοί πρόσβασης άνω των 3.000 δημόσιων υπαλλήλων στο Ηνωμένο Βασίλειο έχουν βρεθεί εκτεθειμένοι στο σκοτεινό διαδίκτυο και άλλες δημόσια προσβάσιμες πηγές. Αυτή η αποκάλυψη εγείρει σοβαρές ανησυχίες για την ασφάλεια των πληροφοριών και την προστασία των δεδομένων σε κρατικό επίπεδο.
Η έρευνα κατέδειξε ότι 195 από αυτούς τους κωδικούς ανήκαν σε υπαλλήλους του Υπουργείου Δικαιοσύνης, 111 στο Υπουργείο Άμυνας και 122 στο Υπουργείο Εργασίας και Συντάξεων. Επιπλέον, εκτεθειμένοι κωδικοί βρέθηκαν και σε άλλες κυβερνητικές υπηρεσίες, όπως η HM Revenue & Customs και το Υπουργείο Εσωτερικών, καθώς και σε δημοτικά συμβούλια, όπως του Aberdeen, του Lancashire, του Newham και του Southwark.
Ανησυχίες για την ασφάλεια και τις στρατηγικές συνέπειες
Ιδιαίτερα ανησυχητικό είναι το γεγονός ότι η NordPass εντόπισε και 70 κωδικούς που ανήκουν σε υπαλλήλους του Κοινοβουλίου του Ηνωμένου Βασιλείου. Ο επικεφαλής προϊόντος της NordPass, Καρόλις Αρμπατσιαούσκας, δήλωσε ότι η έκθεση ευαίσθητων δεδομένων, όπως οι κωδικοί πρόσβασης, είναι εξαιρετικά επικίνδυνη. Η διαρροή τέτοιων πληροφοριών μπορεί να επηρεάσει όχι μόνο τους οργανισμούς και τους εργαζομένους τους, αλλά και ένα μεγάλο αριθμό πολιτών, ενώ ενδέχεται να θέσει σε κίνδυνο τα στρατηγικά συμφέροντα μιας χώρας.
Η ανάγκη ανανέωσης της ασφάλειας των κωδικών
Ορισμένοι από τους κωδικούς εμφανίστηκαν περισσότερες από μία φορές, είτε λόγω πολλαπλών περιστατικών που σχετίζονται με μία διεύθυνση email είτε επειδή διάφοροι χρήστες χρησιμοποίησαν τον ίδιο κωδικό. Συνολικά, η NordPass αναγνώρισε 434 μοναδικούς κωδικούς κατά τη διάρκεια της έρευνάς της.
Ο αριθμός των διαρροών δεν αντικατοπτρίζει απαραίτητα την ισχύ των πρακτικών ασφάλειας ενός οργανισμού. Οι μεγαλύτεροι οργανισμοί με περισσότερους υπαλλήλους έχουν φυσικά μεγαλύτερο ψηφιακό αποτύπωμα, αυξάνοντας τις πιθανότητες διαρροής διαπιστευτηρίων. Σε πολλές περιπτώσεις, μία μόνη μόλυνση από κακόβουλο λογισμικό σε μια προσωπική συσκευή ενός υπαλλήλου ή η παραβίαση ενός δημοφιλούς ιστότοπου τρίτου μέρους μπορεί να εκθέσει δεκάδες λογαριασμούς.
Η αδυναμία των κωδικών στο εξωτερικό
Το Ηνωμένο Βασίλειο δεν είναι η μόνη χώρα που αντιμετωπίζει πρόβλημα με εκτεθειμένους κωδικούς δημόσιων υπαλλήλων. Ανάλυση της εταιρείας αποκάλυψε ότι 53.070 κωδικοί πρόσβασης που ανήκουν σε υπαλλήλους διάφορων ομοσπονδιακών υπηρεσιών των ΗΠΑ είναι εκτεθειμένοι. Από αυτούς, 1.897 ανήκουν στο Υπουργείο Άμυνας, 15.272 στο Υπουργείο Εξωτερικών, 1.706 στον Στρατό των ΗΠΑ και 1.331 στο Υπουργείο Υποθέσεων Βετεράνων.
Παράλληλα, 19.538 email του γαλλικού δημόσιου τομέα βρέθηκαν εκτεθειμένα, ενώ από την Ιταλία εντοπίστηκαν 13.613. Η NordPass συνιστά τη χρήση ισχυρών κωδικών ή φράσεων πρόσβασης, τη δημιουργία ενός μοναδικού κωδικού για κάθε λογαριασμό, την καθιέρωση πολιτικής κωδικών και την ενεργοποίηση του multi-factor authentication (MFA).
Η σημασία της υποδομής ασφάλειας
Παρά την ύπαρξη αδύναμων κωδικών, πολλοί υπάλληλοι ακολουθούν τις βέλτιστες πρακτικές, χρησιμοποιώντας μακροσκελείς κωδικούς με κεφαλαία γράμματα, αριθμούς και σύμβολα. Ωστόσο, εάν αυτοί οι κωδικοί δεν αλλάχθηκαν μετά την εμφάνισή τους στο σκοτεινό διαδίκτυο και δεν έχει ενεργοποιηθεί το MFA, οι επιτιθέμενοι θα μπορούσαν δυνητικά να αποκτήσουν πρόσβαση σε λογαριασμούς email και άλλες ευαίσθητες πληροφορίες αυτών των υπαλλήλων.
Επιπλέον, βρέθηκαν εκατοντάδες χιλιάδες διευθύνσεις email με άλλα εκτεθειμένα δεδομένα, όπως ονόματα, επώνυμα, αριθμοί τηλεφώνου, αυτόματες συμπληρώσεις και cookies. Αυτά τα δεδομένα μπορούν να χρησιμοποιηθούν σε επιθέσεις phishing, θέτοντας σημαντικούς κινδύνους για την ασφάλεια.
