Bir ihbarcı Ulusal Çalışma İlişkileri Kurulu (NLRB) geçen hafta Elon Musk’ın sakinlerinin Devlet Verimliliği Bakanlığı (Doge) Mart başında ajansın hassas vaka dosyalarından gelen gigabayt veri. NLRB’de Doge için oluşturulan hesaplar, üç kod deposundan indirdi. Zımpara. Bu kod paketlerinden birine daha fazla araştırma, Ocak 2025’te yayınlanan bir programa çok benzediğini göstermektedir. Marko Elezbir dizi Musk şirketinde çalışan 25 yaşındaki bir Doge çalışanı.
NLRB tarafından paylaşılan bir ekran görüntüsü, GitHub’dan üç indirme gösteriyor.
Geçen hafta yapılan bir ihbar şikayetine göre Daniel J. YazıyorNLRB’de 38 yaşındaki bir güvenlik mimarı olan Doge, 3 Mart’ta NLRB liderleriyle bir araya geldi ve bu hesaplar tarafından alınan tüm işlemlerin ayrıntılı bir kaydını tutacak ağ kaydı etkinliğinden muaf tutulacak birkaç güçlü “kiracı” hesaplarının oluşturulmasını istedi.
Berulis, yeni Doge hesaplarının NLRB veritabanlarında yer alan bilgileri okumak, kopyalamak ve değiştirmek için sınırsız iznine sahip olduğunu söyledi. Yeni hesaplar ayrıca kütük görünürlüğünü, gecikmeyi, rota günlüklerini başka bir yerde kısıtlayabilir veya hatta tamamen kaldırabilir-ne Berulis’in ne de patronunun sahip olmadığı üst düzey kullanıcı ayrıcalıkları.
Berulis, Doge hesaplarından birinin üç harici kod kütüphanesini indirdiğini keşfettiğini söyledi. Zımpara ne NLRB ne de müteahhitleri hiç kullanmadı. Kod paketlerinden birinde bir “ReadMe” dosyası, bağlantıları büyük bir bulut internet adresleri havuzuyla döndürmenin oluşturulduğunu açıkladı.Web kazıma ve kaba zorlama için sahte infinite IP’ler üretmek için bir proxy olarak. ” Brute kuvvet saldırıları, hızlı sırayla birçok kimlik bilgisi kombinasyonunu deneyen otomatik giriş girişimlerini içerir.
Google’daki bu açıklama üzerinde yapılan bir arama, GitHub’da hesap adına sahip bir kullanıcı için bir kod deposu getirir ”Ge0rg3“Kabaca dört yıl önce“ istekler-IP-Rotator ”adlı bir program yayınlayan, kullanıcının“ siteler ve hizmetler için IP tabanlı oran sınırlarını atlamasına ”izin verecek bir kütüphane olarak tanımlandı.
GitHub kullanıcısı Ge0RG3’ün istekleri için README dosyası, IP-Rotator için, düdüğünün DOGE kullanıcılarından biri tarafından indirildiği bir programın tam ifadesini içerir. Marko Elez, Ocak 2025’te bu programın bir dalı yarattı.
Açıklama, “AWS API Gateway’in büyük IP havuzunu web kazıma ve kaba zorlama için sahte infinite IP’ler oluşturmak için bir proxy olarak kullanmak için bir Python kütüphanesi” diyor.
GE0RG3’ün kodu “açık kaynak” dır, çünkü herkes onu kopyalayabilir ve ticari olarak yeniden kullanabilir. Olduğu gibi, bu projenin GE0RG3’ün “Async-IP-Rotator” adlı kodundan türetilmiş veya “çatallı” yeni bir versiyonu var ve Ocak 2025’te Doge Captain Marko Elez tarafından GitHub’a kararlıydı.
WhistleBlower, bir NLRB vaka veritabanından hassas dosyaları aktaran Doge çalışanları tarafından indirilen GitHub dosyalarından birinin, ReadMe dosyası okuduğu bir arşiv olduğunu belirtti: “AWS API Gateway’in büyük IP havuzunu Web Scraping ve Brute forging için pseudo-infinite IPS üretmek için bir proxy olarak kullanmak için.” Eleez’in burada resmedilen kodu, Ocak 2025’te aynı açıklamayı paylaşan bir kod kütüphanesinden çatallandı.
Hazine Departmanının Merkezi Ödeme Sistemine erişen bir Key Doge personeli olan Eleez, bir dizi misk şirketi için çalıştı. X– SpaceXVe Xai. Elez, kamuoyu incelemesiyle karşılaşan ilk Doge çalışanları arasındaydı. Wall Street Journal onu ırkçılığı ve öjeni savunan sosyal medya yayınlarına bağladı.
Elez bu kısa skandaldan sonra istifa etti, ancak Başkan Donald Trump ve Başkan Yardımcısı JD Vance ona destek verdikten sonra işe alındı. Politika Raporlar Eleez şimdi bir İşgücü departmanı Birden fazla ajansa ayrıntılı olarak, Sağlık ve İnsan Hizmetleri Bölümü.
Politico, “Eleez’in Hazine’deki ilk görevi sırasında, Genel Hizmetler İdaresi’ndeki yetkililere isim ve ödeme bilgisi içeren bir e -tablo göndererek ajansın bilgi güvenliği politikalarını ihlal etti” dedi.
Krebsonsecurity hem NLRB hem de Doge’den yorum istedi ve cevap verirse bu hikayeyi güncelleyecek.
NLRB o zamandan beri etkili bir şekilde hobili Başkan Trump Üç yönetim kurulu üyesini kovdu ve ajansı işlev görmesi gereken çekirdek olmadan bıraktı. İkisi birden Amazon Ve Musk’lar SpaceX NLRB’nin, NLRB’nin varlığının anayasaya aykırı olduğunu savunarak, NLRB’ye şikayetler üzerinde dava açıyor. 5 Mart’ta bir ABD temyiz mahkemesi oybirliğiyle Musk’ın NLRB’nin yapısının bir şekilde anayasayı ihlal ettiği iddiasını reddetti.
Berulis’in şikayeti, NLRB’deki DOGE hesaplarının, sendikalar ve özel iş belgeleri oluşturmak isteyen çalışanlar hakkında bilgi de dahil olmak üzere hassas kayıtların toplanmasını içeren bir veritabanı olan ajansın vaka dosyalarından 10’dan fazla veri indirdiğini iddia ediyor. Berulis, ajanstaki daha yüksek seviyelerin konuyu daha önce kabul ettikleri gibi ABD-sertifiye bildirmemesini söyledikten sonra halka açıldığını söyledi.
Berulis, KrebSonsecurity’nin Doge tarafından yetkisiz veri aktarımının, acente önünde devam eden iş uyuşmazlıklarında sanıklara haksız bir şekilde avantaj sağlayabileceğinden endişe ettiğini söyledi.
Berulis, “Herhangi bir şirket, haksız bir avantaj olacak vaka verilerini alırsa,” dedi. “Nedenini söylemeden çalışanları ve sendika organizatörlerini tespit edebilir ve kovabilirler.”
Marko Elez, bir sosyal medya profilinden bir fotoğrafta.
Berulis, Doge çalışanlarının NLRB sistemlerine indirdiği diğer iki Github arşivinin dahil olduğunu söyledi. İnteguruweb sitelerinin verileri almak için kullandığı Mühendis Uygulama Programlama Arabirimleri (API’lar) tersine çevirmek için tasarlanmış bir yazılım çerçevesi; ve “başsız” bir tarayıcı TarayıcıssızWeb kazıma ve otomatik testler gibi bir tarayıcı havuzu gerektiren web tabanlı görevleri otomatikleştirmek için yapılmıştır.
6 Şubat’ta, birisi Elez’in Async-IP-Rotator için GitHub “Sorunlar” sayfasında uzun ve ayrıntılı bir eleştiriyi yayınladı ve “güvensiz, azaltılamaz ve temel bir mühendislik başarısızlığı” olarak adlandırdı.
“Bu bir yan proje olsaydı, bu sadece kötü kod olurdu” diye yazdı. “Ancak bu, üretim sistemleri nasıl oluşturduğunuzu temsil ediyorsa, o zaman çok daha büyük endişeler var. Bu uygulama temelde bozulur ve buna benzer bir şey, duyarlı verileri işleyen bir ortamda dağıtılırsa, derhal denetlenmelidir.”
Daha fazla okuma: Berulis’in şikayeti (PDF).