Tulsi Gabbard verwendete jahrelang dasselbe schwache Passwort für mehrere Konten

Tulsi Gabbard, die Direktorin des nationalen Geheimdienstes, verwendete über Jahre hinweg dasselbe leicht zu knackende Passwort für verschiedene Online-Konten, wie aus durchgesickerten Aufzeichnungen hervorgeht, die WIRED eingesehen hat. Nach ihrer Teilnahme an einem Signal-Gruppenchat, in dem vertrauliche Details einer Militäroperation unwissentlich an einen Journalisten weitergegeben wurden, wirft die Enthüllung weitere Fragen zu den Sicherheitspraktiken der US-Geheimdienstchefin auf.

WIRED überprüfte Gabbards Passwörter anhand von Datenbanken mit online geleakten Materialien der Open-Source-Geheimdienstunternehmen District4Labs und Constella Intelligence. Gabbard war von 2013 bis 2021 Kongressabgeordnete und gehörte dem Streitkräfteausschuss, dessen Unterausschuss für Geheimdienste und Spezialoperationen sowie dem Ausschuss für auswärtige Angelegenheiten an, was ihr Zugang zu sensiblen Informationen verschaffte. Datenlecks zeigen, dass sie während eines Teils dieses Zeitraums dasselbe Passwort für mehrere E-Mail-Adressen und Online-Konten verwendete und damit gegen bewährteBest Practices für Online-Sicherheit verstieß. (Es gibt keine Hinweise darauf, dass sie dasselbe Passwort für Regierungskonten verwendet hat.)

Zwei Sammlungen gehackter Datensätze, die 2017 veröffentlicht wurden (aber zu einem zuvor unbekannten Zeitpunkt gehackt wurden), sogenannte „Combolisten“, enthüllen ein Passwort, das für ein E-Mail-Konto verwendet wurde, das mit ihrer persönlichen Website verknüpft war; dasselbe Passwort wurde laut einer 2019 veröffentlichten Comboliste für ihr Gmail-Konto verwendet. Dasselbe Passwort wurde laut Datensätzen aus dem Jahr 2012 für Dropbox- und LinkedIn-Konten verwendet, die mit der mit ihrer persönlichen Website verknüpften E-Mail-Adresse verknüpft waren. Datensätzen zu Datendiebstählen aus dem Jahr 2018 zufolge verwendete sie es auch für ein MyFitnessPal-Konto, das mit einer E-Mail-Adresse von me.com verknüpft war, und ein Konto bei HauteLook, einer inzwischen nicht mehr existierenden E-Commerce-Website, die damals Nordstrom gehörte.

Aufzeichnungen dieser Verstöße sind seit Jahren online verfügbar und in kommerziellen Datenbanken zugänglich.

Das Passwort aller fraglichen Konten enthält das Wort „Shraddha“, das für Gabbard offenbar eine persönliche Bedeutung hat: Anfang des Jahres berichtete das Wall Street Journal, sie sei in die Science of Identity Foundation aufgenommen worden, einen Ableger der Hare-Krishna-Bewegung, in die sie angeblich hineingeboren wurde und den ehemalige Mitglieder als Sekte bezichtigten. Mehrere ehemalige Anhänger erklärten dem Journal, Gabbard habe ihrer Meinung nach den Namen „Shraddha Dasi“ erhalten, als sie angeblich in die Gruppe aufgenommen wurde. Gabbards stellvertretende Stabschefin Alexa Henning beantwortete damals Fragen des Journals, indem sie diese auf X veröffentlichte und den Medien vorwarf, „hinduphobe Verleumdungen und andere Lügen“ zu verbreiten.

„Die von Ihnen angesprochenen Datenlecks ereigneten sich vor fast zehn Jahren, und die Passwörter wurden seitdem mehrfach geändert“, schrieb Olivia Coleman, eine Sprecherin von Gabbard, auf Fragen von WIRED. „Wie unser stellvertretender Stabschef bereits mehrfach klargestellt hat, war und ist das DNI nie mit dieser Organisation verbunden. Der Versuch, das DNI als Mitglied einer Sekte zu diffamieren, ist engstirnig.“

„Ihre bigotten Lügen und Verleumdungen eines Kabinettsmitglieds und Ihre Geschichte, die Hinduphobie schürt, sind zur Kenntnis genommen“, schrieb Henning als Antwort auf eine Folgefrage zur Wahrscheinlichkeit, dass Gabbards Passwort denselben Namen enthielt, mit dem sie angeblich in die Science of Identity Foundation aufgenommen wurde, da sie jegliche Verbindung zur Gruppe abstreitet. „Dies wurde während ihrer Anhörung gut verhandelt, daher herzlichen Glückwunsch, dass Sie mit dieser Geschichte etwa sechs Monate zu spät dran sind. Tolle Arbeit.“

Science of Identity hat auf eine Bitte um Stellungnahme nicht geantwortet.

Sicherheitsexperten raten, niemals dasselbe Passwort für verschiedene Konten zu verwenden, da dies häufig vorkommt. Wird bei einem Sicherheitsverstoß das Passwort eines Kontos preisgegeben, versuchen Hacker häufig, damit auf andere Konten derselben Person zuzugreifen. Die Wiederverwendung von Passwörtern ist bei E-Mails besonders gefährlich, da ein kompromittiertes E-Mail-Konto zum Zurücksetzen der Anmeldeinformationen für andere Konten oder Systeme verwendet werden kann.

Die Cybersecurity Infrastructure and Security Agency, die oberste US-Regierungsbehörde für digitale Sicherheit,rät der Öffentlichkeit, mithilfe eines Passwort-Managers für jedes genutzte Konto ein anderes Passwort mit mindestens 16 Zeichen zu generieren, das aus zufälligen Zeichenfolgen aus Zahlen, Buchstaben und Sonderzeichen in Groß- und Kleinschreibung oder mindestens vier unabhängigen Wörtern besteht.

Als Direktorin des Nationalen Geheimdienstes beaufsichtigt Gabbard die18 Organisationen der US-Geheimdienste, darunter die CIA und die National Security Agency, und deren Budget von rund 100 Milliarden Dollar . Laut Gesetz ist sie die wichtigste Beraterin des Präsidenten und des Nationalen Sicherheitsrats in Geheimdienstfragen im Zusammenhang mit der nationalen Sicherheit und somit für die Sicherheit eines Großteils der sensibelsten Informationen der Regierung verantwortlich. Das Democratic National Committee bezeichnete Gabbard als „direkte Bedrohung unserer nationalen Sicherheit“ und beruft sich dabei auf eine Aussage aus dem Jahr 2019, wonach der syrische Diktator Bashar al-Assad „kein Feind der Vereinigten Staaten“ sei, auf Nachrichtenberichte über die Unterstützung, die sie von den russischen Staatsmedien genoss, und auf ihre Verbindungen zu „Verschwörungstheoretikern“.

Gabbard ging während ihrer Anhörungen zur Bestätigung durch den Senat im Januar auf diese Kritik ein .

„Diejenigen, die meine Nominierung ablehnen, unterstellen mir, ich sei etwas oder jemand anderem treu als Gott, meinem eigenen Gewissen und der Verfassung der Vereinigten Staaten. Sie werfen mir vor, Trumps Marionette, Putins Marionette, Assads Marionette, die Marionette eines Gurus und Modis zu sein. Sie erkennen nicht die Absurdität, gleichzeitig die Marionette von fünf verschiedenen Drahtziehern zu sein“, sagte sie. „Tatsache ist: Was meine politischen Gegner wirklich beunruhigt, ist, dass ich mich weigere, ihre Marionette zu sein.“