州議員在美國是高度受矚目的公眾人物,負責制定數十億美元規模的州預算、處理敏感資訊,並與選民溝通。
根據 Proton 的最新調查,他們的電子郵件地址和密碼也同樣暴露無遺。
一年多來,我們一直在調查世界各地政治人物的網路安全作法。最新一輪研究發現,67% 的美國州議員至少曾一次受到與其公開列出的電子郵件地址相關的資料外洩事件影響。
我們在 49 個州中,找出超過 16,000 筆與公開列出的電子郵件地址相關的資料外洩紀錄。其中超過 12,000 筆涉及可識別個人身分資訊(PII),這些資訊可被用來識別、監視個人,並對其發動網路釣魚詐騙。讓風險進一步升高的是,我們還發現了 560 組純文字密碼:有了純文字密碼,駭客就能存取屬於議員的個人帳號,甚至可能進一步滲透到官方政府帳號。
我們的報導未公開任何可識別資訊,且我們已通知每一位受影響的政治人物。
這些資料暴露源於人為錯誤,而非外部攻擊
這些暴露並非來自與美國敵對國家的定向攻擊,而是因為州議員使用其官方政府電子郵件註冊 LinkedIn、Adobe 和 Dropbox 等服務。這些第三方服務曾發生資料外洩,進而導致政府官員資料暴露。
不幸的是,個人帳號與工作帳號之間這種界線模糊的情況,在現代職場中十分常見。這可能對任何產業、任何規模的企業造成嚴重影響,但能存取敏感政府服務與資料的政治人物,所面臨的威脅模式遠高於一般公民。
「數據顯示,這與其說是零星個案,不如說是數位風險如何隨時間累積的結果,」Proton 帳號安全主管 Eamonn Maguire 表示。「即使只是平常、日常地使用線上服務,也可能造成長期暴露。一旦牽涉到官方電子郵件地址,風險就不再只影響個人,還會擴及他們所代表的機構。」
2026 年 3 月發布的川普總統《美國網路戰略》(新視窗)指出,美國政府「將迅速、審慎且主動地採取行動,使對美國構成的網路威脅失效。」但看來,這項努力可能正被其自家的立法者削弱,因為他們讓自己暴露在網路攻擊風險之中。
各州的線上行為並不一致
看來,不同州政府的線上安全作法並不一致。我們的調查顯示,49 個州之間的行為差異相當大:
- 亞利桑那州與奧克拉荷馬州的州議員有 100% 都至少一次出現在資料外洩資料集中
- 麻薩諸塞州的資料外洩總數最高(816 件),影響了 84% 的官員
- 新罕布夏州的外洩密碼數量最多(81 個)
- 馬里蘭州是唯一沒有記錄到資料外洩的州
- 只有四個州的曝光率低於 50%:佛羅里達州、肯塔基州、馬里蘭州和新罕布夏州
兩個州有 100% 的州議員至少一次出現在資料外洩資料集中,這一事實令人深感憂慮。如果一整個州中任何一位州議員因資料外洩而變得脆弱,這可能會對公民及其公共基礎設施造成嚴重影響。美國政府經常成為由俄羅斯對外情報局(新視窗)(SVR)和中國政府(新視窗)發動攻擊的目標。美國國務院已成立一個新單位 (新視窗),以識別並回應伊朗、中國、俄羅斯、北韓及外國恐怖組織發動的威脅。
如果美國政府未能充分落實網路安全標準,美國公民就會因州議員的行為而不公平地受到影響。任何人都不應僅僅因為居住地不同,就更容易承受網路攻擊的後果,甚至可能因此無法獲得必要的政府服務。馬里蘭州是唯一沒有記錄到資料外洩的州,該州議員或許最有條件在政府內部倡議提高標準。
以現代線上安全應對現代威脅
在線上更加謹慎,並不只是政治敏感人士才需要做的事。任何人都可能受到資料外洩影響,而資料外洩無論發生在誰身上,都可能帶來災難性的後果。關鍵在於預先設想資料外洩並做好因應規劃,而這要從您的電子郵件地址開始。
電子郵件地址本質上就像一張線上護照。它與您在線上所做的一切息息相關,例如您的線上帳號、購買紀錄、位址、政府核發的身分證件等等。透過您的電子郵件地址,他人很容易辨識您,並以網路釣魚詐騙鎖定您,導致財務損失和身分詐用。您的資料也可能被賣給資料經紀商牟利,進而讓更多網路犯罪分子得以存取這些資料。
與其徹底離線——這在當今世界並不可行——不如選擇保護您的個人資訊,並限制您在哪些地方提供這些資訊。
- 電子郵件別名會隱藏您的個人電子郵件地址,讓您在不透露任何個人資訊的情況下建立帳號,甚至傳送或接收電子郵件。如果某個電子郵件別名出現在資料外洩中,它不會與您有關聯,因此無法被用來取得更多關於您的資料。您只要將它停用即可,不會對您造成任何傷害。對於想保護自己電子郵件地址的人來說,電子郵件別名是極佳的解決方案,因此美國各州議員也可從中受益。
- 密碼管理程式是建立、儲存和自動填入密碼的理想解決方案。端對端加密的密碼管理程式可確保除了您之外,任何人都無法存取您的個人資料,連您的密碼管理程式供應商也不例外。如果您有需要,也可以安全地共享憑證,避免會增加風險的不安全共享做法。
- 暗網監控會在您的個人資訊出現在暗網時自動提醒您,也能找出帳號弱點,例如未啟用的雙重身分驗證(2FA),以及強度不足或重複使用的密碼。
所有這些服務以及更多功能,都可透過 Proton Pass 使用。Proton Pass 由打造隱私優先生態系的團隊設計,該生態系包含 Proton Mail 和 Proton VPN;它是一款安全的密碼管理程式,適合任何技術經驗程度和任何安全需求的使用者。
無論您是公民還是州議員,都可以考慮註冊 Proton Pass Plus 帳號。
