חשבתם שאתם עצלנים? ראש מערך המודיעין האמריקאי השתמשה באותה סיסמה חלשה במשך שנים
תחקיר חדש חשף כי טולסי גבארד המשיכה להשתמש בסיסמה גם לאחר שדלפה לרשת. בתגובה, האשימה גבארד את התקשורת ב"שנאה הינדופובית"
תמונה: pexels
טולסי גבארד, ראש מערך המודיעין הלאומי בארצות הברית, מי שאמורה להיות האדם הכי זהיר בארצות הברית כשזה נוגע לסייבר, השתמשה במשך שנים באותה סיסמה חלשה לכמה חשבונות אישיים. לא מדובר בשמועות או הדלפה חדשה מהדארקנט, אלא במידע פתוח לגמרי שנמצא כבר שנים במסדי נתונים שכל האקרים מתחיל מכיר כך לפי תחקיר שפורסם הלילה באתר WIRED.
הסיסמה המדוברת הופיעה ברשימות שדלפו ב-2012, 2017 ו-2019, והייתה קשורה לחשבונות Dropbox, ג'ימייל, לינקדין ואפילו MyFitnessPal. לפי הדיווח, הסיסמה כללה את המילה "shraddha", מונח שיש לו ככל הנראה משמעות אישית עבור גבארד. על פי תחקיר של ה־Wall Street Journal, גבארד הוכנסה בעבר ל־Science of Identity Foundation, זרם שיוצא מתנועת הרי קרישנה, בה נולדה לכאורה. מספר יוצאים מהקבוצה טענו כי בעת שהצטרפה קיבלה את השם "Shraddha Dasi". בתגובה לשאלות בנושא, סגנית ראש הסגל של גבארד, אלקסה הנינג, פרסמה את הפנייה העיתונאית ברשת X והאשימה את כלי התקשורת ב"הפצת שקרים ושנאה הינדופובית".
והנה הצעד אחד אקסטרה שלוקח את כל הסיפור לרמה חדשה של חוסר אחריות: זו לא פעם ראשונה שגבארד מעוררת שאלות בתחום האבטחה. רק לאחרונה דווח שהייתה חברה בקבוצת Signal בה תכננו בכירי משרד ההגנה תקיפה נגד החות'ים, ומבלי להתכוון צירפו אליה עיתונאי בכיר. וכשמחברים את הנקודות, קשה שלא לתהות: האם מי שאחראית לאבטחת כל סוכנויות הביון של ארה"ב באמת מבינה מה זה אומר "אפס אמון"?
מפתח אחד, הרבה מנעולים שנפתחו
התחקיר נשען על מאגרי מידע פתוחים שמתחזקים גופי מודיעין קוד פתוח כמו District4Labs ו־Constella Intelligence. שם התגלתה אותה סיסמה שחזרה על עצמה במספר חשבונות אישיים הקשורים לגבארד, כולל כאלה שנקשרו לאתר האישי שלה ולדוא"ל. הסיסמה הזאת שימשה גם לחשבון באתר מסחר מקוון שכבר אינו קיים ומכאן קצרה הדרך לחשיפת מידע רגיש או לניצול לרעה.
סוכנות האבטחה האמריקאית (CISA) ממליצה באופן עקבי לא לעשות את מה שגבארד עשתה, ואלו כמובן ההמלצות שכולנו כבר יודעים לדקלם מתוך שינה: לא למחזר סיסמאות, לא לבחור מילים שקל לקשור אליך, ולא לוותר על ניהול סיסמאות מסודר. במיוחד כשמדובר בדוא"ל, שמהווה שער כניסה לכל שאר החשבונות.
אז איך זה קורה?
זו לא שאלה טכנית. זו שאלה של תרבות ארגונית, או במקרה הזה, תרבות הנהגתית. כשמי שעומדת בראש מערך המודיעין הלאומי, עם תקציב של 100 מיליארד דולר תחת ידה, לא מצליחה ליישם את הסטנדרטים הבסיסיים ביותר של אבטחת מידע, מה זה אומר על רמת הבקרה בתוך המערכת? מי בודק את הבודקים?
גבארד אמנם התייחסה לביקורת במהלך שימועי האישור שלה בסנאט, אך היא בחרה שלא לתת תשובות, אלא לתקוף את המתנגדים לה תוך שהיא טוענת שהיא "לא תהיה בובה של אף אחד".
