Tulsi Gabbard Yıllardır Birden Fazla Hesapta Aynı Zayıf Parolayı Tekrar Kullandı
WIRED tarafından incelenen sızdırılmış kayıtlara göre, Ulusal İstihbarat Direktörü Tulsi Gabbard, yıllarca farklı çevrimiçi hesaplar için aynı kolay kırılabilen parolayı kullandı. Hassas askeri operasyon detaylarının bir gazeteciyle istemeden paylaşıldığı bir Signal grup sohbetine katılımının ardından, bu ortaya çıkış, ABD istihbarat şefinin güvenlik uygulamaları hakkında daha fazla soru işaretini beraberinde getirdi.
WIRED, açık kaynaklı istihbarat firmaları District 4 Labs ve Constella Intelligence tarafından oluşturulan çevrimiçi olarak sızdırılan materyal veritabanlarını kullanarak Gabbard'ın şifrelerini inceledi. Gabbard, 2013'ten 2021'e kadar Kongre'de görev yaptı ve bu süre zarfında Silahlı Hizmetler Komitesi, İstihbarat ve Özel Operasyonlar Alt Komitesi ve Dış İlişkiler Komitesi'nde yer alarak hassas bilgilere erişim sağladı. İhlallerden elde edilen materyaller, bu dönemin bir bölümünde, yerleşik çevrimiçi güvenlik en iyi uygulamalarına aykırı olarak birden fazla e-posta adresi ve çevrimiçi hesap için aynı parolayı kullandığını gösteriyor. (Hükümet hesaplarında bu parolayı kullandığına dair bir gösterge yok.)
2017'de yayınlanan (ancak daha önce bilinmeyen bir tarihte ihlal edilen) “combolist” olarak bilinen iki ihlal kaydı koleksiyonu, kişisel web sitesiyle ilişkili bir e-posta hesabı için kullanılan bir parolayı ortaya koyuyor; 2019'da yayınlanan bir combolist'e göre aynı parola Gmail hesabıyla kullanılmış. Kayıtlara göre 2012 tarihli kayıtlar, kişisel web sitesiyle bağlantılı Dropbox ve LinkedIn hesapları için de aynı parola kullanılmış. 2018 tarihli ihlallere ait kayıtlara göre, me.com e-posta adresine bağlı bir MyFitnessPal hesabında ve o zamanlar Nordstrom'a ait olan artık faaliyet göstermeyen bir e-ticaret sitesi HauteLook'taki bir hesapta da kullanmış.
Bu ihlallerin kayıtları yıllardır çevrimiçi olarak mevcut ve ticari veritabanlarında erişilebilir.
Bahsi geçen tüm hesaplarla ilişkili parolanın, Gabbard için kişisel bir anlam taşıdığı görünen “shraddha” kelimesini içerdiği belirtiliyor: Bu yılın başlarında, The Wall Street Journal, Hare Krishna hareketinin bir kolu olan ve eski üyelerinin bir kült olduğunu iddia ettiği Kimlik Bilimi Vakfı'na kabul edildiğini bildirdi. Birkaç eski üye, Gazete'ye Gabbard'ın gruba alındığında "Shraddha Dasi" adını aldığına inandıklarını söyledi. Gabbard'ın baş yardımcısı Alexa Henning, Gazete'nin sorularını X'te yayınlayarak ve haber medyasını "Hindu düşmanı karalamalar ve diğer yalanlar"ı yayınlamakla suçlayarak yanıtladı.
Gabbard'ın sözcüsü Olivia Coleman, WIRED'ın sorularına verdiği yanıtta, “Bahsettiğiniz veri ihlalleri yaklaşık 10 yıl önce meydana geldi ve şifreler o zamandan beri birçok kez değiştirildi,” diye yazdı. “Baş yardımcımızın daha önce birçok kez açıkça belirttiği gibi, Ulusal İstihbarat Direktörü'nün bu kuruluşla hiçbir zaman ve şu an da bir ilişkisi yok. Ulusal İstihbarat Direktörü'nü bir kültte olmakla karalamaya çalışmak, bağnaz bir davranıştır.”
Henning, Gabbard'ın Kimlik Bilimi Vakfı'na alındığı söylenen aynı adı içeren bir parolaya sahip olma olasılığı hakkındaki takip sorusuna yanıt olarak, “Bir kabine üyesine yönelik bağnaz yalanlarınızı ve karalamalarınızı ve Hindu düşmanlığı körükleyen hikayenizi not aldık,” diye yazdı. “Bu, onay duruşması sırasında iyice ele alındı, bu yüzden hikayeye yaklaşık 6 ay geç kalmanız tebrikler. Harika iş.”
Kimlik Bilimi Vakfı, yorum talebine yanıt vermedi.
Güvenlik uzmanları, insanların genellikle aynı parolayı kullanması nedeniyle, farklı hesaplarda aynı parolayı asla kullanmamaları konusunda insanları uyarıyor. Bir hesabın parolası bir ihlalde ortaya çıkarsa, bilgisayar korsanları genellikle aynı kişi tarafından kontrol edilen diğer hesaplara erişmek için bunu kullanmaya çalışır. Parolaları yeniden kullanmak, özellikle e-posta için tehlikelidir, çünkü tehlikeye atılmış bir e-posta hesabı, diğer hesapların veya sistemlerin kimlik bilgilerini sıfırlamak için kullanılabilir.
Dijital güvenlik konusunda ABD hükümetinin en üst yetkilisi olan Siber Güvenlik Altyapısı ve Güvenlik Ajansı, halk üyelerini, her hesap için rastgele karışık büyük küçük harf, sayı ve sembol dizilerinden oluşan veya en az dört ilgisiz kelimeden oluşan, en az 16 karakter uzunluğunda farklı bir parola oluşturmak için parola yöneticisi kullanmaları konusunda uyarıyor.
Ulusal İstihbarat Direktörü olarak Gabbard, Merkezi İstihbarat Teşkilatı ve Ulusal Güvenlik Ajansı da dahil olmak üzere ABD istihbarat camiasını oluşturan 18 kuruluşun ve yaklaşık 100 milyar dolarlık bütçelerinin denetimini yürütüyor. Kanun gereği, ulusal güvenlikle ilgili istihbarat konularında başkana ve Ulusal Güvenlik Konseyi'ne baş danışmandır ve bu nedenle hükümetteki en hassas bilgilerin çoğunun güvenliğini sağlamakla görevlidir. Demokratik Ulusal Komitesi, Suriye diktatörü Beşşar Esad'ın "ABD'nin düşmanı olmadığı" yönündeki 2019 tarihli bir açıklamayı, Rus devlet medyasından aldığı destekle ilgili haberleri ve "komplo teorisyenleriyle" olan bağlarını gerekçe göstererek Gabbard'ı "ulusal güvenliğimize doğrudan bir tehdit" olarak nitelendirdi.
Gabbard, Ocak ayındaki Senato onay duruşmaları sırasında bu eleştirilere cevap verdi.
“Adaylığımı karşı çıkanlar, Tanrı'dan, kendi vicdanımdan ve Amerika Birleşik Devletleri anayasasından başka bir şeye veya birine sadık olduğumu ima ediyor, beni Trump'ın kuklası, Putin'in kuklası, Esad'ın kuklası, bir gurunun kuklası, Modi'nin kuklası olmakla suçluyor ve aynı anda beş farklı kukla ustası tarafından kullanılan bir kukla olmanın absürtlüğünü anlamıyorlar,” dedi. “Gerçek şu ki, siyasi rakiplerimi gerçekten rahatsız eden şey, onların kuklası olmayı reddetmemdir.”