Ci sarebbe da ridere, non fosse che pare sia tutto vero. Stando infatti a Wired, Tulsi Gabbard, direttrice dell’intelligence nazionale degli Stati Uniti, avrebbe utilizzato per anni la stessa password facilmente violabile per accedere a diversi servizi online, tra cui Gmail, Dropbox, LinkedIn e persino piattaforme legate al fitness e all’e-commerce.
Una leggerezza che, considerata la sua posizione attuale, solleva interrogativi serissimi sulle vulnerabilità della sicurezza informatica ai massimi livelli dello Stato.
Una password semplice e riciclata per quasi tutto
Le combolist sono elenchi combinati di nomi utente (di solito email) e password, spesso ottenuti tramite violazioni di sicurezza (data breach) e successivamente aggregati in grandi database per essere riutilizzati in attacchi informatici.
L’inchiesta di Wired si basa sull’analisi di combolist effettuate da due società di intelligence open source, District 4 Labs e Constella Intelligence. Le quali hanno individuato due elenchi pubblicati nel 2017, ma relativi a violazioni avvenute anni prima, che mostrano che Gabbard utilizzava una password contenente la parola “shraddha” su un indirizzo email collegato al suo sito personale.
Lo stesso codice è comparso nel 2019 in un’altra lista, stavolta associata al suo account Gmail.
Ma non finisce qui: secondo dati risalenti addirittura al 2012, quella stessa password è stata usata anche per accedere a Dropbox e LinkedIn. E, secondo altre violazioni del 2018, compariva su un account MyFitnessPal collegato a un’email @me.com e su HauteLook, un sito di e-commerce allora di proprietà Nordstrom.
Insomma, per almeno sei anni — e forse di più — Tulsi Gabbard ha usato la stessa credenziale (peraltro debole) per una molteplicità di servizi, ignorando ogni principio base di sicurezza informatica.
L’unica buona notizia, apparentemente è che nessuna evidenza suggerisce che quella password sia stata usata anche su account governativi.
Abbiamo scritto ‘apparentemente’ perché in questi casi è concreto il rischio di credential stuffing, espressione dietro cui si cela l’uso automatizzato di credenziali note per violare altri servizi.
Un profilo pubblico esposto da anni
Gabbard non è una figura nota solo col secondo mandato di Trump: dal 2013 al 2021 è stata deputata al Congresso degli Stati Uniti, dove ha fatto parte della Commissione Forze Armate — e in particolare del Sottocomitato su Intelligence e Operazioni Speciali — oltre che della Commissione Affari Esteri.
Un ruolo che le ha garantito accesso costante a informazioni classificate e a discussioni sensibili su difesa, politica estera e sicurezza.
Il fatto che proprio in quegli anni lei abbia usato una password tanto prevedibile su più servizi personali — alcuni anche collegati al suo sito ufficiale — lascia perplessi.
Non si tratta solo di una svista personal ma di una falla sistemica. Tanto più che, secondo quanto riferito, la parola “shraddha” contenuta nella password avrebbe anche un significato personale e spirituale per Gabbard.
The Wall Street Journal ha infatti riportato che Tulsi Gabbard sarebbe stata iniziata alla Science of Identity Foundation, un’organizzazione collegata al movimento Hare Krishna. Secondo alcuni ex aderenti, che descrivono il gruppo come una setta, durante questa presunta affiliazione Gabbard avrebbe ricevuto il nome “Shraddha Dasi”.
Si tratta di un elemento che rende la password ancora più facilmente indovinabile per chi abbia studiato il suo profilo pubblico.
Il precedente di Signal e la replica: “Tentativo di screditare”
A rendere la situazione ancora più critica c’è il precedente che abbiamo già raccontato lo scorso marzo. Anche Tulsi Gabbard ha partecipato alla famigerata chat di gruppo su Signal creata dal consigliere per la sicurezza nazionale, Michael Waltz.
In quella conversazione, alla quale era stato aggiunto per errore anche Jeffrey Goldberg, direttore di The Atlantic, sono stati condivisi dettagli operativi su un’azione militare in Yemen, compresi obiettivi e tempistiche.
Gabbard ha preso parte attivamente allo scambio, e in seguito ha ammesso che l’episodio è stato “un errore”, precisando però che nessuna delle informazioni circolate era classificata.
La reazione dell’entourage della Gabbard
Alle rivelazioni di Wired, lo staff della direttrice ha replicato con fermezza. “Le violazioni cui vi riferite risalgono a quasi dieci anni fa, e le password sono state cambiate più volte da allora”, ha dichiarato la portavoce Olivia Coleman.
E, rispetto al riferimento contenuto nella password, che richiamerebbe un nome spirituale legato alla discussa Science of Identity Foundation, la vicecapo dello staff Alexa Henning si è rivolta con durezza a Wired.
“Le vostre bugie bigotte e le diffamazioni contro una figura di governo sono note. State alimentando hinduphobia”.
Quando l’errore umano diventa problema istituzionale
La cybersicurezza, come insegnano le agenzie specializzate, è una questione di abitudini, non solo di tecnologia.
La CISA — l’autorità americana per la sicurezza digitale — raccomanda da tempo di usare password lunghe, uniche, casuali, idealmente generate da password manager.
Il riutilizzo di una stessa parola d’accesso su più servizi, soprattutto da parte di figure pubbliche, rappresenta oggi una delle principali vulnerabilità nella sicurezza globale. Fa un certo effetto pensare che il primo a non prendere queste basilari attenzioni sia stato l’attuale capo della sicurezza degli Stati Uniti.
