Informativos Telecinco desvela sin querer un post-it con una contraseña de la DGT. Resulta que es una insultantemente fácil
通常,我们被一再叮嘱要使用强密码,难以被猜到,并妥善保管以防窥探。然而,似乎一些公共机构自己却是最先不遵守这些建议的。如果说前不久卢浮宫博物馆的安全系统让我们感到惊讶,那么这次的主角换成了西班牙交通总局。
事因交通总局在一场风波中成为焦点——此前,电视五台新闻节目在黄金时段无意中展示了贴在显示器上的一张便签,上面写有用户名和密码。最糟糕的是,这个密码简单得令人难以置信。
这个镜头在电视台播出的报道中仅持续了一瞬间,但在随时可以截屏的时代,这一瞬间已经足够。许多关注网络安全问题的用户对此感到愤怒,并迅速在网络上传播了这一疏忽。
被曝光的密码非常简单,许多人将难以相信它竟然是政府信息系统的一部分。
密码就是“54321”
被曝光的密码不是别的,正是“54321”——一个存在于所有黑客用于加速网络攻击的“密码字典”中的序列,被认为是数字安全中最明显的反面教材之一。
高清录像中的疏忽
这起事件因行业专业人士而曝光,例如网络情报和开源情报专家卡洛斯·坎特罗。在暂停报道的某一帧画面时,他观察到交通总局一台显示器的下方有一张清晰可见的贴纸,上面有用户名和密码。
坎特罗在其领英帖子中这样谴责道: “交通总局将不安全的用户名和密码贴在显示器上这一事实,让人深思,尤其是考虑到西班牙在数据保护方面简直是‘地狱’。”一些观众还注意到,除了凭证之外,还显示了用于管理内部事务的服务的私有域名。尽管该域名可能受到VPN或IP过滤的保护,但仅仅是暴露就构成了额外的潜在风险。
雪上加霜
需要指出的是,交通总局近期有一系列与计算机安全相关的事件记录。不久前,该机构遭受了一次攻击,导致3400万驾驶员的数据被盗,随后在暗网上仅以3000欧元的价格出售,引发了西班牙历史上最大的网络钓鱼活动之一。在那几个月里,数千市民收到了冒充紧急罚款的虚假邮件,这些信息让攻击者得以访问私人银行账户。
在此背景下,新的疏忽显得尤为严重。将用户名和密码写在可见的纸张上,是专业环境中最不安全的做法之一,更何况这发生在一个保管着数百万公民关键信息的公共机构内。
专家们提醒,像“54321”这样简单的密码,是自动化系统首先会尝试的密码。
未吸取的教训
这类错误并非孤立事件,而是某些公共机构内部更深层次问题的结构性症状:缺乏数字安全文化。这些漏洞通常不是由大规模外部攻击造成的,而是内部的小疏忽,日积月累,在日常行政工作中变得常态化。
专家建议:
- 避免在公共区域放置任何可见的密码,
- 使用密码管理器,
- 最重要的是,为每项服务设置复杂且唯一的密码。
图片 | 马科斯·梅里诺通过人工智能生成
