Delstatslagstiftare är mycket synliga offentliga personer i USA, ansvariga för att utforma delstatsbudgetar för flera miljarder dollar, hantera privilegierad information och kommunicera med väljare.

Enligt en ny utredning från Proton är deras e-postadresser och lösenord också mycket synliga.

Vi har undersökt cybersäkerhetsmetoderna hos politiker runt om i världen i mer än ett år. Vår senaste forskningsrunda fann att 67 % av de amerikanska delstatslagstiftarna har påverkats av dataintrång länkade till deras offentligt listade e-postadresser minst en gång.

Se om dina regeringstjänstemän har data på dark web

Vi identifierade över 16 000 intrångsposter associerade med offentligt listade e-postadresser i 49 delstater. Mer än 12 000 instanser involverade personligt identifierbar information (PII), vilket kan användas för att identifiera, övervaka och inleda nätfiskebedrägerier mot individer. Vad som förvärrar dessa risker är det faktum att 560 lösenord upptäcktes i oformaterad text: Med ett lösenord i oformaterad text kan hackare få åtkomst till personliga konton som tillhör lagstiftare och potentiellt arbeta sig in i officiella myndighetskonton.

Ingen identifierande information delas i vår rapportering och vi har meddelat varje berörd politiker.

Exponeringar härrör från mänskliga fel, inte externa attacker

Snarare än riktade attacker från nationer i konflikt med USA, drivs dessa exponeringar av lagstiftare som använder sina officiella statliga e-postadresser för att registrera sig för tjänster som Linkedin, Adobe och Dropbox. Dessa tredjepartstjänster har påverkats av dataintrång, vilket lett till exponeringar för regeringstjänstemän.

Tyvärr är denna utsuddning av gränser mellan privata konton och företagskonton vanlig på moderna arbetsplatser. Det kan ha allvarliga konsekvenser för företag av alla storlekar i alla branscher, men politiker med åtkomst till känsliga statliga tjänster och data har en mycket högre hotmodell än en genomsnittlig medborgare.

“Data visar att detta handlar mindre om isolerade incidenter och mer om hur digital risk ackumuleras över tid”, säger Eamonn Maguire, Head of Account Security på Proton. “Även normal, vardaglig användning av onlinetjänster kan skapa långvarig exponering. När officiella e-postadresser är inblandade sträcker sig den risken bortom individen till de institutioner de representerar.”

President Trumps Cyber Strategy for America(nytt fönster), som släpptes i mars 2026, noterar att den amerikanska regeringen “kommer att agera snabbt, medvetet och proaktivt för att inaktivera cyberhot mot Amerika.” Det verkar som att denna ansträngning kan undermineras av dess egna lagstiftare, som lämnar sig själva sårbara för cyberattacker.

Onlinebeteende är inkonsekvent mellan delstater

Det verkar som att säkerhetsmetoder online inte är konsekventa mellan regeringar i olika delstater. Vår utredning avslöjade ett brett spektrum av beteenden i 49 delstater:

  • 100 % av lagstiftarna i Arizona och Oklahoma förekom i intrångsdataset minst en gång
  • Massachusetts registrerade de högsta totala intrången (816), vilket påverkade 84 % av tjänstemännen
  • New Hampshire hade det högsta antalet läckta lösenord (81)
  • Maryland var den enda delstaten utan några registrerade intrång
  • Endast fyra delstater hade mindre än 50 % exponering: Florida, Kentucky, Maryland och New Hampshire

Det faktum att 100 % av lagstiftarna i två delstater förekom i dataset från dataintrång minst en gång är djupt oroande. Om någon lagstiftare i en hel delstat har gjorts sårbar i ett dataintrång kan detta få allvarliga konsekvenser för medborgarna och deras offentliga infrastruktur. Den amerikanska regeringen är regelbundet måltavla för attacker som utförs av den ryska underrättelsetjänsten(nytt fönster) (SVR) och den kinesiska regeringen(nytt fönster). USA:s utrikesdepartement har lanserat en ny enhet (nytt fönster)för att identifiera och reagera på hot från Iran, Kina, Ryssland, Nordkorea och utländska terroristorganisationer.

Om standarderna för cybersäkerhet inte upprätthålls tillräckligt över hela den amerikanska regeringen leder det till att amerikanska medborgare orättvist drabbas av sina lagstiftivares beteende. Ingen bör vara mer sårbar för konsekvenserna av en cyberattack som kan neka dem viktiga samhällstjänster, bara på grund av var de bor. Lagstiftare i Maryland, den enda delstaten utan registrerade intrång, är kanske de som är bäst lämpade för att förespråka högre standarder inom regeringen.

Möta moderna hot med modern onlinesäkerhet

Att vara mer försiktig online är inte bara till för politiskt exponerade personer. Vem som helst kan drabbas av ett dataintrång, och ett dataintrång kan få katastrofala konsekvenser oavsett vem du är. Nyckeln är att förutse intrång och planera därefter, till att börja med din e-postadress.

En e-postadress är i grunden ett onlinepass. Den är kopplad till allt du gör online, som dina onlinekonton, din köphistorik, din adress, ditt statliga ID och mycket mer. Genom att använda din e-postadress är det enkelt att identifiera dig och rikta in sig på dig med bedrägerier via nätfiske som kan leda till att du drabbas av ekonomisk förlust och identitetsbedrägeri. Dina data kan också säljas till datamäklare med vinst, vilket leder till att ännu fler cyberbrottslingar kan få åtkomst till dem.

Istället för att gå under jorden, vilket inte är en hållbar lösning i dagens värld, kan du i stället välja att skydda din personliga information och begränsa platserna där du lämnar ut den.

  • E-postalias döljer din personliga e-postadress, så att du kan skapa konton och till och med skicka eller ta emot e-post utan att avslöja någon personlig information. Om ett e-postalias dyker upp i ett dataintrång är det inte anslutet till dig, så det kan inte användas för att få mer data om dig. Det kan helt enkelt inaktiveras, vilket inte orsakar dig någon skada. E-postalias är en utmärkt lösning för dem som vill skydda sina e-postadresser, så amerikanska delstatslagstiftare kan dra nytta av att överväga dem.
  • Lösenordshanterare är en idealisk lösning för att skapa, lagra och autofylla lösenord. En end-to-end-krypterad lösenordshanterare säkerställer att ingen annan än du kan få åtkomst till dina personuppgifter, inte ens din leverantör av lösenordshanterare. Det är också möjligt att säkert dela inloggningsuppgifter om du behöver det, vilket eliminerar osäkra metoder för delning som ökar risken.
  • Övervakning av dark web varnar dig automatiskt om din personliga information dyker upp på dark web, och kan även identifiera kontosvagheter såsom inaktiv tvåfaktorsautentisering (2FA) samt svaga eller återanvända lösenord.

Alla dessa tjänster och mer därtill är tillgängliga med Proton Pass. Proton Pass är designat av teamet bakom ett ekosystem där integritet kommer i första hand, inklusive Proton Mail och Proton VPN, och är en säker lösenordshanterare som passar för alla nivåer av teknisk erfarenhet och alla säkerhetskrav.

Oavsett om du är en medborgare eller en lagstiftare, överväg att registrera dig för ett Proton Pass Plus-konto.