Delstatslovgivere er svært synlige offentlige personer i USA, ansvarlige for å utforme delstatsbudsjetter på flere milliarder dollar, håndtere privilegert informasjon og kommunisere med velgere.

Ifølge en ny Proton-undersøkelse er deres e-postadresser og passord også svært synlige.

Vi har undersøkt cybersikkerhetspraksisen til politikere over hele verden i mer enn et år. Vår siste runde med forskning fant at 67 % av amerikanske delstatslovgivere har blitt berørt av databrudd knyttet til sine offentlig oppførte e-postadresser minst én gang.

Se om dine offentlige tjenestepersoner har data på det mørke nettet

Vi identifiserte over 16 000 brudd-oppføringer knyttet til offentlig oppførte e-postadresser på tvers av 49 delstater. Mer enn 12 000 tilfeller involverte personidentifiserende informasjon (PII), som kan brukes til å identifisere, overvåke og lansere nettfisking-svindel mot enkeltpersoner. Disse risikoene forsterkes av det faktum at 560 passord ble oppdaget i ren tekst: Med et passord i ren tekst kan hackere få tilgang til personlige kontoer som tilhører lovgivere og potensielt jobbe seg inn i offisielle offentlige kontoer.

Ingen identifiserende informasjon blir delt i vår rapportering, og vi har varslet hver enkelt politiker som er berørt.

Eksponeringer stammer fra menneskelige feil, ikke eksterne angrep

Snarere enn målrettede angrep fra nasjoner i konflikt med USA, er disse eksponeringene drevet av at lovgivere bruker sine offisielle e-postadresser fra myndighetene for å registrere seg for tjenester som Linkedin, Adobe og Dropbox. Disse tredjepartstjenestene har blitt rammet av databrudd, noe som har ført til eksponeringer for offentlige tjenestepersoner.

Dessverre er denne utviskingen av grenser mellom personlige kontoer og bedriftskontoer vanlig på moderne arbeidsplasser. Det kan ha alvorlige konsekvenser for bedrifter av enhver størrelse i enhver bransje, men politikere med tilgang til sensitive offentlige tjenester og data har en mye høyere trusselmodell enn en gjennomsnittlig innbygger.

«Dataene viser at dette handler mindre om isolerte hendelser og mer om hvordan digital risiko akkumuleres over tid,» sa Eamonn Maguire, leder for kontosikkerhet hos Proton. «Selv normal, daglig bruk av nettbaserte tjenester kan skape langsiktig eksponering. Når offisielle e-postadresser er involvert, strekker denne risikoen seg utover individet til institusjonene de representerer.»

President Trumps Cyber Strategy for America(nytt vindu), utgitt i mars 2026, bemerker at den amerikanske regjeringen «vil handle raskt, bevisst og proaktivt for å deaktivere cybertrusler mot Amerika.» Det ser ut til at denne innsatsen kan bli undergravd av dens egne lovgivere, som gjør seg selv sårbare for cyberangrep.

Pålogget atferd er inkonsekvent blant delstater

Det ser ut til at pålogget sikkerhetspraksis ikke er konsekvent på tvers av myndigheter i forskjellige delstater. Vår undersøkelse avslørte et bredt spekter av atferd på tvers av 49 delstater:

  • 100 % av lovgiverne i Arizona og Oklahoma dukket opp i datasett for brudd minst én gang
  • Massachusetts registrerte det høyeste totale antallet brudd (816), som påvirket 84 % av tjenestepersonene
  • New Hampshire hadde det høyeste antallet lekkede passord (81)
  • Maryland var den eneste delstaten uten registrerte brudd
  • Bare fire delstater hadde mindre enn 50 % eksponering: Florida, Kentucky, Maryland og New Hampshire

Det faktum at 100 % av lovgiverne i to delstater dukket opp i datasett for brudd minst én gang, er dypt bekymringsfullt. Hvis en lovgiver i en hel delstat har blitt gjort sårbar i et databrudd, kan dette få alvorlige konsekvenser for innbyggerne og deres offentlige infrastruktur. Den amerikanske regjeringen utsettes jevnlig for angrep fra den russiske utenretningstjenesten(nytt vindu) (SVR) og den kinesiske regjeringen(nytt vindu). Utenriksdepartementet har lansert en ny enhet (nytt vindu)for å identifisere og svare på trusler lansert av Iran, Kina, Russland, Nord-Korea og utenlandske terrororganisasjoner.

Hvis standarder for cybersikkerhet ikke blir tilstrekkelig ivaretatt i den amerikanske regjeringen, gjør dette at amerikanske statsborgere blir urettferdig påvirket av atferden til sine lovgivere. Ingen bør være mer sårbare for konsekvensene av et cyberangrep som kan nekte dem viktige offentlige tjenester bare på grunn av hvor de bor. Lovgivere i Maryland, den eneste delstaten uten registrerte brudd, er kanskje i den beste posisjonen til å ta til orde for høyere standarder i regjeringen.

Møt moderne trusler med moderne sikkerhet når du er pålogget

Å være mer forsiktig når du er pålogget er ikke bare for politisk eksponerte personer. Alle kan bli rammet av et databrudd, og et databrudd kan få katastrofale konsekvenser uansett hvem du er. Nøkkelen er å forutse brudd og planlegge deretter, og det starter med din e-postadresse.

En e-postadresse er i bunn og grunn et pålogget pass. Den er koblet til alt du gjør når du er pålogget, som dine påloggede kontoer, kjøpshistorikken din, din adresse, din offentlige legitimasjon og mer. Ved å bruke din e-postadresse, er det enkelt å identifisere deg og målrette deg med svindel via nettfisking som kan føre til at du rammes av økonomisk tap og svindel med identitet. Dine data kan også selges til datameglere for profitt, noe som fører til at enda flere nettkriminelle får tilgang til dem.

I stedet for å koble deg helt av nettet, som ikke er en gjennomførbar løsning i dagens verden, kan du heller velge å beskytte din personlige informasjon og begrense stedene der du gir den ut.

  • E-postalias skjuler din personlige e-postadresse, slik at du kan opprette kontoer og til og med sende eller motta e-poster uten å gi fra deg personlig informasjon. Hvis et e-postalias dukker opp i et databrudd, er det ikke koblet til deg, så det kan ikke brukes til å få flere data om deg. Det kan rett og slett deaktiveres, uten å gjøre deg noen skade. E-postaliaser er en utmerket løsning for de som ønsker å beskytte sine e-postadresser, så amerikanske delstatslovgivere kan ha nytte av å vurdere dem.
  • Passordapper er en ideell løsning for å opprette, lagre og autofylle passord. En ende-til-ende-kryptert passordapp sikrer at dine personlige data ikke kan fås tilgang til av andre enn deg, ikke engang din leverandør av passordappen. Det er også mulig å dele påloggingsinformasjon på en sikker måte hvis du trenger det, noe som eliminerer usikker delingspraksis som øker risikoen.
  • Overvåking av det mørke nettet varsler deg automatisk hvis din personlige informasjon dukker opp på det mørke nettet, og kan også identifisere svakheter i din konto som inaktiv tofaktorautentisering (2FA) og svake eller gjenbrukte passord.

Alle disse tjenestene og mer er tilgjengelige med Proton Pass. Designet av teamet bak et økosystem der personvern kommer først, inkludert Proton Mail og Proton VPN, er Proton Pass en sikker passordapp som passer for ethvert nivå av teknisk erfaring og alle sikkerhetskrav.

Enten du er statsborger eller lovgiver, bør du vurdere å registrere deg for en Proton Pass Plus-konto.