Законодатели штатов — заметные публичные фигуры в США: они формируют многомиллиардные бюджеты штатов, работают с закрытой информацией и общаются с избирателями.

Согласно новому расследованию Proton, их адреса электронной почты и пароли тоже находятся на виду.

Мы уже более года изучаем практики кибербезопасности политиков по всему миру. Последний этап нашего исследования показал, что как минимум один раз утечки данных, связанные с их публично указанными адресами электронной почты, затронули 67 % законодателей штатов США.

Проверьте, есть ли данные ваших представителей власти в даркнете

Мы выявили более 16 000 записей об утечках, связанных с публично указанными адресами электронной почты в 49 штатах. Более 12 000 случаев включали персональные данные (PII), которые можно использовать для идентификации человека, слежки за ним и фишинговых атак. Эти риски усугубляются тем, что 560 паролей были обнаружены в виде простого текста: имея пароль в виде простого текста, злоумышленники могут получить доступ к личным аккаунтам законодателей, а затем, возможно, и к официальным государственным аккаунтам.

В нашем материале не раскрывается никакая идентифицирующая информация, и мы уведомили каждого затронутого политика.

Причина утечек — человеческая ошибка, а не внешние атаки

Причиной этих утечек стали не целевые атаки со стороны государств, находящихся в конфликте с США, а то, что законодатели используют свои официальные государственные адреса электронной почты, чтобы регистрироваться в таких сервисах, как LinkedIn, Adobe и Dropbox. Эти сторонние сервисы уже сталкивались с утечками данных, что и приводило к компрометации данных госслужащих.

К сожалению, такое размывание границ между личными и рабочими аккаунтами — обычное явление на современных рабочих местах. Это может иметь серьезные последствия для компаний любого размера и из любой отрасли, но у политиков, имеющих доступ к чувствительным государственным сервисам и данным, модель угроз гораздо серьезнее, чем у обычного гражданина.

«Данные показывают, что речь идет не столько об отдельных инцидентах, сколько о том, как цифровой риск накапливается со временем», — сказал Имонн Магуайр, руководитель направления безопасности аккаунтов в Proton. «Даже обычное, повседневное использование онлайн-сервисов может создавать долгосрочную уязвимость. Когда в дело вовлечены официальные адреса электронной почты, этот риск выходит за пределы отдельного человека и затрагивает учреждения, которые он представляет».

Киберстратегия Америки(новое окно) президента Трампа, опубликованная в марте 2026 года, отмечает, что правительство США «будет действовать быстро, целенаправленно и проактивно, чтобы нейтрализовать киберугрозы для Америки». Похоже, этим усилиям могут мешать собственные законодатели, которые оставляют себя уязвимыми для кибератак.

Онлайн-привычки различаются от штата к штату

Похоже, что практики онлайн-безопасности в органах власти разных штатов неодинаковы. Наше расследование выявило большой разброс по 49 штатам:

  • 100 % законодателей в Аризоне и Оклахоме как минимум один раз фигурировали в наборах данных об утечках
  • В Массачусетсе зафиксировано наибольшее общее число утечек (816), затронувших 84 % должностных лиц
  • В Нью-Гэмпшире было зафиксировано наибольшее число утекших паролей (81)
  • Мэриленд был единственным штатом, где не было зафиксировано ни одной утечки
  • Только в четырех штатах уровень подверженности был ниже 50 %: Флорида, Кентукки, Мэриленд и Нью-Гэмпшир

Тот факт, что 100 % законодателей в двух штатах хотя бы один раз попадали в наборы данных об утечках, вызывает серьезную обеспокоенность. Если хотя бы один законодатель в каком-либо штате оказался уязвим из-за утечки данных, это может иметь серьезные последствия для граждан и общественной инфраструктуры. Правительство США регулярно становится целью атак, которые проводят Служба внешней разведки России(новое окно) (СВР) и правительство Китая(новое окно). Госдепартамент создал новое подразделение (новое окно)для выявления угроз со стороны Ирана, Китая, России, Северной Кореи и иностранных террористических организаций и реагирования на них.

Если стандарты кибербезопасности не внедряются должным образом во всех структурах правительства США, граждане страны несправедливо страдают из-за действий своих законодателей. Никто не должен быть более уязвимым перед последствиями кибератаки, которая может лишить человека доступа к важнейшим государственным услугам, только из-за того, где он живет. Законодатели в Мэриленде — единственном штате, где не было зафиксировано ни одной утечки, — возможно, находятся в наилучшем положении, чтобы выступать за более высокие стандарты внутри правительства.

Современные угрозы требуют современной онлайн-безопасности

Быть осторожнее онлайн важно не только политически значимым лицам. Любой человек может пострадать от утечки данных, и такая утечка может иметь катастрофические последствия независимо от того, кто вы. Главное — заранее учитывать риск утечек и действовать соответственно, начиная с вашего адреса электронной почты.

Адрес электронной почты — это, по сути, онлайн-паспорт. Он связан со всем, что вы делаете онлайн: вашими онлайн-аккаунтами, историей покупок, адресом, государственным удостоверением личности и не только. Зная ваш адрес электронной почты, вас легко идентифицировать и сделать целью фишинговых атак, которые могут привести к финансовым потерям и мошенничеству с личными данными. Ваши данные также могут продать брокерам данных ради прибыли, из-за чего доступ к ним получит еще больше киберпреступников.

Вместо того чтобы полностью уходить из цифрового мира, что в современных условиях едва ли реально, лучше защитить свою личную информацию и сократить число мест, где вы ею делитесь.

  • Псевдонимы электронной почты скрывают ваш личный адрес электронной почты, позволяя создавать аккаунты и даже отправлять или получать электронные письма, не раскрывая никакой личной информации. Если псевдоним электронной почты окажется в утечке данных, он не будет связан с вами, поэтому его нельзя будет использовать, чтобы получить о вас дополнительные данные. Его можно просто деактивировать без какого-либо вреда для вас. Псевдонимы электронной почты — отличное решение для тех, кто хочет защитить свои адреса электронной почты, поэтому законодателям штатов США стоит обратить на них внимание.
  • Менеджеры паролей — идеальное решение для создания, хранения и автозаполнения паролей. Менеджер паролей, зашифрованный сквозным методом, гарантирует, что доступ к вашим личным данным не сможет получить никто, кроме вас, — даже поставщик самого менеджера паролей. При необходимости с его помощью также можно безопасно делиться учетными данными, избегая небезопасных способов обмена, которые повышают риск.
  • Мониторинг даркнета автоматически предупреждает вас, если ваша личная информация появляется в даркнете, а также помогает выявлять слабые места аккаунта, например отключенную двухфакторную аутентификацию (2FA) и слабые или повторно используемые пароли.

Все эти сервисы и многое другое доступны в Proton Pass. Созданный командой, стоящей за экосистемой с приоритетом конфиденциальности, в которую входят Proton Mail и Proton VPN, Proton Pass — это безопасный менеджер паролей, подходящий пользователям с любым уровнем технической подготовки и любыми требованиями к безопасности.

Будь вы гражданином или законодателем, подумайте о том, чтобы зарегистрироваться и создать аккаунт Proton Pass Plus.