Тъпаци: Най-ползваната парола в България е "123456"

Най-опасният човек за една компания почти никога не е хакерът. Той обикновено е бившият стажант, който е напуснал преди три години - и чийто акаунт все още съществува някъде в системата.

Корпоративните ИТ инфраструктури не се рушат драматично. Те се разпадат бавно, като стар индустриален квартал - нови сгради се строят върху стари основи, кабели се прокарват върху други кабели, врати се заключват, но ключовете остават да висят някъде по джобовете на хора, които отдавна са си тръгнали.

Всеки нов проект добавя още един акаунт. Всеки външен доставчик получава още един достъп. Всеки тестов сървър създава още една идентичност. Системите растат, но паметта за тях не расте със същата скорост.

Така се появява един почти невидим слой в корпоративните системи от акаунти, роли и разрешения, които вече нямат собственик, но все още имат ключове към инфраструктурата.

Специалистите по киберсигурност имат име за това явление: дигитални призраци.

И в много организации призраците са повече от хората.

Това не е просто игра на думи, а наблюдение, което започва да се появява и в реални корпоративни анализи. Американската компания Veza, която разработва софтуер за управление на достъпа в големи корпоративни системи, публикува през 2025 г. доклад за състоянието на идентичностите и разрешенията в модерните ИТ среди. Данните показват, че около 38% от акаунтите в организациите са неактивни, но продължават да съществуват в системите.

С други думи, голяма част от ключовете към корпоративните системи принадлежат на идентичности, които вече не участват в ежедневната работа на бизнеса.

Проблемът се усложнява още повече от начина, по който функционират модерните ИТ инфраструктури. Акаунтите вече не принадлежат само на хора. Голяма част от тях са машинни идентичности - автоматизирани достъпи, чрез които една система комуникира с друга. Най-простият пример е т.нар. API ключ - цифров код, който позволява на едно приложение автоматично да поиска информация или услуга от друго приложение.

В една модерна компания почти всички системи са свързани. CRM платформата например е софтуерът, в който се съхранява информация за клиентите - техните поръчки, контакти и историята на взаимодействията им с компанията. ERP системата е гръбнакът на бизнеса - тя управлява финансовите потоци, доставки, складове, поръчки и плащания.

Когато клиент направи поръчка онлайн, CRM системата трябва да изпрати информация към ERP системата, ERP системата трябва да провери наличностите в склада, а системата за плащания трябва да потвърди транзакцията.

Всички тези процеси се случват чрез автоматизирани акаунти и цифрови ключове.

И както при човешките профили, много от тях остават активни дълго след като проектът или интеграцията, за която са създадени, е приключила. Така системите постепенно се превръщат в сложна карта от достъпи, роли и зависимости, която никой вече не познава изцяло.

Понякога именно такъв забравен достъп води до реални инциденти.

През 2025 г. изследователи по сигурността анализират платформата McHire - системата, която McDonald's използва за управление на кандидатури за работа. Софтуерът е разработен от технологичната компания Paradox.ai и се използва в хиляди ресторанти, за да автоматизира първите етапи от подбора на персонал.

Кандидатите разговарят с чатбот, който задава въпроси, събира информация за опита им и предлага подходящи свободни позиции. Системата може автоматично да насрочи интервю или да насочи кандидата към конкретен ресторант. Това позволява на огромна международна верига като McDonald's да обработва милиони кандидатури годишно без човешка намеса във всеки етап.

На пръв поглед платформата изглежда като типичен модерен корпоративен софтуер - автоматизиран, интегриран с множество вътрешни системи и обработващ огромни обеми от лични данни. При по-внимателен анализ обаче изследователите откриват нещо изненадващо.

В административната част на системата съществува тестов акаунт, останал вероятно още от етапа на разработка или внедряване. Подобни акаунти често се създават временно, за да могат инженерите да тестват функциите на платформата преди тя да бъде пусната в реална среда.

Проблемът е, че този акаунт никога не е бил изтрит.

Паролата му е била „123456“.

С това изследователите успяват да влязат в административната среда на системата. Оттам се открива достъп до огромен масив от информация за кандидатури. Според последвалите анализи системата е съдържала данни за близо 64 милиона кандидатури за работа. Този случай е показателен именно защото не включва сложна хакерска техника. Няма пробив в криптографията и няма нова уязвимост в софтуера.

Има само един стар тестов акаунт, който никой не е изтрил. Тази детайлна история прави още по-интересни някои наблюдения върху навиците на потребителите.

През февруари 2026 г. един от големите Telegram канали за търговия с откраднати данни за достъп публикува масив с около 850 хиляди комбинации от имейл адреси и пароли, свързани с българската пощенска услуга abv.

Анализ на данните, направен от сайта Questona, показва, че след премахване на дубликатите и автоматично генерираните записи остават около 728 хиляди реални комбинации от имейл и парола. Най-често срещаната парола в масива е „123456“ - същата комбинация, която е оставила отворена административната врата към системата на McDonald's.

Сред най-популярните комбинации се срещат и „qwerty123“, думата „parola“, както и лични имена като Plamen, Nikolai и Martin. Срещат се и имена на футболни клубове - например „levski“.

Не е напълно ясно дали публикуваният масив представлява нов теч или комбинация от по-стари пробиви и фишинг кампании. Но самият анализ показва колко широко разпространени са слабите практики при управление на достъпите.

Когато подобни навици се пренесат в корпоративна среда, последствията могат да бъдат много по-сериозни.