/https://www.ilsoftware.it/app/uploads/2026/01/password-rubate-in-chiaro-online.jpg "Password ridicole nel governo ungherese: dati esposti online")
Un archivio di credenziali governative finite online riporta l’attenzione su una fragilità ricorrente nelle infrastrutture digitali pubbliche: la gestione delle password.
L’indagine pubblicata da Bellingcat documenta la diffusione di dati di accesso riconducibili a enti statali ungheresi, rinvenuti in repository accessibili pubblicamente e collegati a precedenti violazioni. Il fenomeno non è isolato e si inserisce in una sequenza di incidenti che negli ultimi anni hanno coinvolto amministrazioni europee con livelli di esposizione variabili.
Il materiale individuato comprende username, password in chiaro o debolmente cifrate e riferimenti a servizi interni. Una parte dei dati proviene da raccolte note come combo list, ovvero aggregazioni di credenziali sottratte in attacchi precedenti e riutilizzate in tentativi di accesso automatizzati. La presenza di account governativi in questi dataset suggerisce riutilizzo di password o politiche di sicurezza insufficienti.
Origine e diffusione delle credenziali
Le credenziali esposte non derivano necessariamente da un singolo attacco diretto ai sistemi governativi. Più spesso, emergono da violazioni di servizi terzi: piattaforme online, provider di posta o applicazioni utilizzate anche in ambito lavorativo. Quando un utente riutilizza la stessa password su più servizi, un leak esterno può diventare un punto di ingresso verso sistemi più sensibili.
Nel caso analizzato, i ricercatori hanno incrociato indirizzi email istituzionali con database pubblicati su forum e archivi accessibili, individuando combinazioni valide o potenzialmente riutilizzabili. Alcune credenziali risultavano ancora attive, evidenziando una mancata rotazione o l’assenza di controlli periodici.
Debolezze strutturali nella gestione delle password
Il problema centrale riguarda pratiche ancora diffuse: uso di password semplici, riutilizzo tra servizi diversi e assenza di meccanismi di protezione aggiuntivi. In molti casi, i sistemi non impongono requisiti stringenti o non verificano se una password è già comparsa in archivi compromessi.
Un elemento critico è l’assenza o la scarsa diffusione dell’autenticazione a più fattori. Senza un secondo livello di verifica, una password compromessa può essere sufficiente per ottenere accesso completo. Anche quando presente, la configurazione può risultare opzionale o limitata a determinati servizi.
Dal punto di vista tecnico, la protezione delle credenziali richiede l’uso di algoritmi di hashing robusti, come bcrypt o Argon2, accompagnati da salt univoci. La presenza di password in chiaro o facilmente decifrabili indica implementazioni non aggiornate o configurazioni errate.
Implicazioni per la sicurezza nazionale
L’esposizione di credenziali governative non implica automaticamente una compromissione attiva, ma aumenta in modo significativo la superficie di attacco. Gli attori malevoli possono utilizzare queste informazioni per campagne di credential stuffing, accesso a sistemi interni o in altre operazioni simili.
In scenari più critici, l’accesso a caselle email istituzionali può consentire intercettazione di comunicazioni, reset di password su altri servizi e diffusione di attacchi di phishing mirati. Anche account con privilegi limitati possono fungere da punto di partenza per movimenti laterali all’interno della rete.
Strategie di mitigazione e best practice
La riduzione del rischio passa da interventi tecnici e organizzativi. L’adozione obbligatoria dell’autenticazione a più fattori rappresenta una delle misure più efficaci. Parallelamente, è necessario implementare sistemi di monitoraggio che confrontino le credenziali interne con database di leak noti, permettendo la revoca immediata degli accessi compromessi.
Un altro aspetto riguarda la formazione degli utenti: politiche di password robuste e l’uso di gestori dedicati riducono il rischio di riutilizzo. A livello infrastrutturale, l’integrazione di sistemi di identity management e access control consente una gestione più granulare e tracciabile degli accessi.
Il caso ungherese evidenzia un punto preciso: la sicurezza delle credenziali resta uno degli elementi più critici e meno risolti nella protezione dei sistemi pubblici. Anche in presenza di tecnologie avanzate, errori di configurazione e pratiche deboli continuano a rappresentare una vulnerabilità concreta.
/https://www.ilsoftware.it/app/uploads/2026/04/phishing-AI-2FA-eviltoken.jpg "OAuth Device Code: phishing AI che aggira l'autenticazione 2FA senza password")
/https://www.ilsoftware.it/app/uploads/2026/04/little-snitch-traffico-rete-monitoraggio-linux.jpg "Little Snitch arriva su Linux: controllo avanzato del traffico di rete")
/https://www.ilsoftware.it/app/uploads/2025/10/donna-con-smartphone-tra-le-mani.jpg "ExpressVPN, offerta di primavera: 79% di sconto fino al 21 aprile")
/https://www.ilsoftware.it/app/uploads/2023/05/hacker-malware-virus.jpg "Migliaia di router domestici hackerati: attacco legato alla Russia")