Tulsi Gabbard Yıllardır Birden Fazla Hesapta Aynı Zayıf Parolayı Tekrar Kullandı

WIRED tarafından incelenen sızdırılmış kayıtlara göre, ulusal istihbarat direktörü Tulsi Gabbard, yıllar boyunca farklı çevrimiçi hesaplar için aynı kolayca kırılabilen parolayı kullandı. Askeri bir operasyonun hassas ayrıntılarının bir gazeteciyle farkında olmadan paylaşıldığı bir Signal grup sohbetine katılmasının ardından, ifşaat ABD casus şefinin güvenlik uygulamaları hakkında daha fazla soru gündeme getiriyor.

WIRED, Gabbard'ın şifrelerini açık kaynaklı istihbarat firmaları District4Labs ve Constella Intelligence tarafından oluşturulan çevrimiçi sızdırılmış materyal veritabanlarını kullanarak inceledi. Gabbard, 2013'ten 2021'e kadar Kongre'de görev yaptı ve bu süre zarfında Silahlı Hizmetler Komitesi, İstihbarat ve Özel Harekat Alt Komitesi ve Dışişleri Komitesi'nde görev yaptı ve bu da ona hassas bilgilere erişim sağladı. İhlallerden elde edilen materyal, bu dönemin bir bölümünde, çevrimiçi güvenlik için yerleşiken iyi uygulamaları ihlal ederek aynı şifreyi birden fazla e-posta adresinde ve çevrimiçi hesapta kullandığını gösteriyor. (Şifreyi hükümet hesaplarında kullandığına dair hiçbir belirti yok.)

2017'de yayınlanan (ancak daha önce bilinmeyen bir tarihte ihlal edilen) iki ihlal kaydı koleksiyonu, "combolists" olarak bilinir, kişisel web sitesiyle ilişkili bir e-posta hesabı için kullanılan bir parolayı ortaya çıkarır; 2019'da yayınlanan bir combolist'e göre aynı parola, Gmail hesabıyla da kullanılmıştır. Aynı parola, 2012'ye kadar uzanan kayıtlara göre, kişisel web sitesine bağlı e-posta adresiyle ilişkili Dropbox ve LinkedIn hesapları için de kullanılmıştır. 2018'deki ihlallere kadar uzanan kayıtlara göre, bunu ayrıca me.com e-posta adresiyle ilişkili bir MyFitnessPal hesabında ve o zamanlar Nordstrom'a ait olan ve artık faaliyette olmayan bir e-ticaret sitesi olan HauteLook'taki bir hesapta da kullanmıştır.

Bu ihlallerin kayıtları yıllardır çevrimiçi olarak mevcuttur ve ticari veri tabanlarında erişilebilir durumdadır.

Söz konusu hesapların hepsiyle ilişkili şifre, Gabbard için kişisel bir öneme sahip gibi görünen "shraddha" kelimesini içeriyor: Bu yılın başlarında, The Wall Street Journal, Gabbard'ın doğduğu bildirilen ve eski üyelerinin bir tarikat olmakla suçladığı Hare Krishna hareketinin bir kolu olan Science of Identity Foundation'a kabul edildiğini bildirdi . Birkaç eski taraftar, The Journal'a Gabbard'ın iddiaya göre gruba kabul edildiğinde "Shraddha Dasi" adını aldığına inandıklarını söyledi. Gabbard'ın yardımcı genel müdürü Alexa Henning, o sırada The Journal'ın sorularına X'te yayınlayarak ve haber medyasını "Hindufobik iftiralar ve diğer yalanlar" yayınlamakla suçlayarak yanıt verdi.

Gabbard sözcüsü Olivia Coleman, WIRED'ın sorularına yanıt olarak, "Bahsettiğiniz veri ihlalleri neredeyse 10 yıl önce gerçekleşti ve o zamandan beri şifreler birçok kez değişti," diye yazdı. "Genelkurmay başkan yardımcımızın daha önce birçok kez açıkça belirttiği gibi, DNI'nin bu örgütle hiçbir zaman bir bağlantısı olmadı ve olmayacak. DNI'yi bir tarikata bağlıymış gibi karalamaya çalışmak bağnazca bir davranıştır."

"Bağnaz yalanlarınız ve bir kabine üyesine iftiralarınız ve Hindufobiyi körükleyen hikayeniz not edildi," diye yazdı Henning, Gabbard'ın şifresinin, kendisinin Bilim Kimlik Vakfı'na kabul edildiği bildirilen aynı adı içermesi olasılığına ilişkin bir takip sorusuna yanıt olarak, grupla hiçbir zaman bir bağlantısı olmadığını inkar etmesi göz önüne alındığında. "Bu, onay duruşmasında iyi bir şekilde yargılandı, bu hikayeye yaklaşık 6 ay geç kaldığınız için tebrikler. Harika iş."

Kimlik Bilimi yorum talebine yanıt vermedi.

Güvenlik uzmanları insanlara farklı hesaplarda aynı parolayı asla kullanmamalarını tavsiye ediyor çünkü insanlar bunu sıklıkla yapıyor. Bir hesabın parolası bir ihlalde açığa çıkarsa, bilgisayar korsanları genellikle aynı kişi tarafından kontrol edilen diğer hesaplara erişmek için bunu kullanmaya çalışır. Parolaları e-postada tekrar kullanmak özellikle tehlikelidir çünkü tehlikeye atılmış bir e-posta hesabı diğer hesaplar veya sistemler için kimlik bilgilerini sıfırlamak için kullanılabilir.

ABD hükümetinin dijital güvenlik konusundaki en üst düzey otoritesi olan Siber Güvenlik Altyapısı ve Güvenlik Ajansı, halkakullandıkları her hesap için en az 16 karakter uzunluğunda, karışık büyük/küçük harfli sayı, harf ve sembollerden oluşan veya en az dört ilgisiz kelimeden oluşan farklı bir parola oluşturmaları için bir parola yöneticisi kullanmalarını tavsiye ediyor.

Gabbard, ulusal istihbarat direktörü olarak, Merkezi İstihbarat Teşkilatı ve Ulusal Güvenlik Teşkilatı da dahil olmak üzere ABD istihbarat topluluğunu oluşturan18 kuruluşu ve yaklaşık 100 milyar dolarlık bütçelerini denetliyor. Yasa gereği, ulusal güvenlikle ilgili istihbarat konularında başkana ve Ulusal Güvenlik Konseyi'ne baş danışmandır ve bu nedenle hükümetteki en hassas bilgilerin çoğunun güvenliğini sağlamakla görevlidir. Demokratik Ulusal Komite, Suriye diktatörü Beşar Esad'ın "Amerika Birleşik Devletleri'nin düşmanı olmadığı" yönündeki 2019 tarihli bir açıklamaya atıfta bulunarak , Rus devlet medyasından aldığı destek ve "komplo teorisyenleriyle" olan bağları hakkındaki haber raporları Gabbard'ı "ulusal güvenliğimize doğrudan bir tehdit" olarak nitelendirdi.

Gabbard, Ocak ayında Senato'daki onay görüşmelerinde bu eleştirilere değinmişti .

"Adaylığıma karşı çıkanlar, Tanrı'ya, kendi vicdanıma ve Amerika Birleşik Devletleri anayasasına sadık olmadığımı ima ederek, beni Trump'ın kuklası, Putin'in kuklası, Esad'ın kuklası, bir gurunun kuklası, Modi'nin kuklası olmakla suçluyorlar ve aynı anda beş farklı kukla ustasının kuklası olmanın saçmalığını kabul etmiyorlar," dedi. "Gerçek şu ki, siyasi rakiplerimi gerçekten rahatsız eden şey, onların kuklası olmayı reddetmem."