大量美国政府网站帐号密码被公布于互联网

szwandicn

近日，美国政府网站信息泄露事件中的大量帐号密码数据出现在网络上。根据Recorded Future公司的分析，这些数据涉及100个美国政府域名，且已经存在了超过12个月了，这些信息的泄露将政府工作人员和探员们暴露于网络攻击之下。
密码来源
开源情报分析使得Recorded Future的专家们能够找到那些来自47个机构的用户名密码，无论是明文形式，还是经过哈希加密的邮箱密码组合。这些政府人员的密码被放在17个不同的文本分享网站，包括Pastebin。
专家还指出在不同网站使用相同密码恶化了这些情况。很多情况下，窃取的密码来自很多第三方网站的数据泄露。黑客们只需要用这些登录信息就可以尝试登陆那些政府网站。
“泄露的密码来自不同的来源。出于政治动机，很多黑客活动分子将政府机构作为目标，例如#OpSaveGaza和#OpLeak行动。还有一些泄露的密码来自声称和LulzSec、SwaggSec、维基解密或匿名者有关的黑客。”
大量密码被公布于网络
根据统计，有89个域名，47个美国政府机构的用户名密码可能被泄露。2015年初，这些机构中的12个，包括美国国务院和能源部，都没有要求用户使用两步登陆验证。互联网上出现这些登录信息会使得这些机构容易遭收集情报，遭社工，或者遭到鱼叉式网络钓鱼攻击”，Recorded Future在这份名为“互联网上的政府网站密码”的报告中提到，“虽然有些机构会使用VPN、多因素验证和其他安全措施，但正如行政管理和预算局向国会报告的那样，很多机构都还没有这些措施。”
这些登录信息来自能源部、商务部、总务管理局、美国国际开发署、国务院、退伍军人事务部、农业部、卫生及公共服务部、住房和城市发展部、运输部、财政部、内政部，甚至是国土安全局。
其中美国能源部被爆出的邮箱/密码数量最多，旗下拥有9个域名。美国商务部紧随其后，有7个域名被泄露。