近日，美國政府網站信息泄露事件中的大量帳號密碼數據出現在網絡上。根據Recorded Future公司的分析，這些數據涉及100個美國政府域名，且已經存在了超過12個月了，這些信息的泄露將政府工作人員和探員們暴露于網絡攻擊之下。

　　密碼來源

開源情報分析使得Recorded Future的專家們能夠找到那些來自47個機構的用戶名密碼，無論是明文形式，還是經過哈希加密的郵箱密碼組合。這些政府人員的密碼被放在17個不同的文本分享網站，包括Pastebin。

專家還指出在不同網站使用相同密碼惡化了這些情況。很多情況下，竊取的密碼來自很多第三方網站的數據泄露。黑客們只需要用這些登錄信息就可以嘗試登陸那些政府網站。

“泄露的密碼來自不同的來源。出于政治動機，很多黑客活動分子將政府機構作為目標，例如#OpSaveGaza和#OpLeak行動。還有一些泄露的密碼來自聲稱和LulzSec、SwaggSec、維基解密或匿名者有關的黑客。”

大量密碼被公布于網絡

根據統計，有89個域名，47個美國政府機構的用戶名密碼可能被泄露。2015年初，這些機構中的12個，包括美國國務院和能源部，都沒有要求用戶使用兩步登陸驗證。互聯網上出現這些登錄信息會使得這些機構容易遭收集情報，遭社工，或者遭到魚叉式網絡釣魚攻擊”，Recorded Future在這份名為“互聯網上的政府網站密碼”的報告中提到，“雖然有些機構會使用VPN、多因素驗證和其他安全措施，但正如行政管理和預算局向國會報告的那樣，很多機構都還沒有這些措施。”

這些登錄信息來自能源部、商務部、總務管理局、美國國際開發署、國務院、退伍軍人事務部、農業部、衛生及公共服務部、住房和城市發展部、運輸部、財政部、內政部，甚至是國土安全局。

其中美國能源部被爆出的郵箱/密碼數量最多，旗下擁有9個域名。美國商務部緊隨其后，有7個域名被泄露。