Bir güvenlik mimarı Ulusal Çalışma İlişkileri Kurulu (NLRB), çalışanların Elon Musk‘S Devlet Verimliliği Bakanlığı (DOGE) Hassas verilerin gigabaytlarını, birkaç ağ etkinliği izi bırakacak şekilde yapılandırılmış kısa ömürlü hesaplar kullanarak Mart başında ajans vaka dosyalarından aktardı. NLRB WhistleBlower, alışılmadık büyük veri çıkışlarının, yeni oluşturulan bir Doge kullanıcı hesabı için geçerli kimlik bilgilerini kullanmaya çalışan Rusya’daki bir internet adresinden çok sayıda engellenmiş giriş denemesiyle çakıştığını söyledi.
Berulis’in Bilgi Bildirisi’nden Kapak Mektubu, Senato Seçim Komitesi Liderlerine Gönderildi.
İddialar, 14 Nisan tarihli bir mektupta, Senato İstihbarat Seçim Komitesi’ne imzaladı. Daniel J. YazıyorNLRB’de 38 yaşındaki bir güvenlik mimarı.
Nepal RupisiBerulis’in bilgi uçurma şikayeti hakkında ilk rapor veren şey olan NLRB, haksız işgücü uygulamaları hakkındaki şikayetleri araştıran ve yargılayan küçük, bağımsız bir federal ajans olduğunu ve “sendikalar oluşturmak isteyen çalışanlar hakkında gizli bilgiler hakkında gizli bilgilerden haberdar olduklarını” söylüyor.
Şikayet, 3 Mart’tan itibaren bir aylık bir dönem belgeleri, Doge yetkililerinin, NLRB sistemlerinde bu hesaplar tarafından alınan tüm işlemlerin ayrıntılı bir kaydını tutacak ağ günlük kaydı etkinliğinden muaf tutulacak tüm güçlü “kiracı yönetici” hesaplarının oluşturulmasını talep ettikleri bildirildi.
Berulis, yeni Doge hesaplarının NLRB veritabanlarında yer alan bilgileri okumak, kopyalamak ve değiştirmek için sınırsız iznine sahip olduğunu söyledi. Yeni hesaplar ayrıca kütük görünürlüğünü, gecikmeyi, rota günlüklerini başka bir yerde kısıtlayabilir veya hatta tamamen kaldırabilir-ne Berulis’in ne de patronunun sahip olmadığı üst düzey kullanıcı ayrıcalıkları.
Berulis, 3 Mart’ta bir polis eskortunun eşlik ettiği siyah bir SUV’nin binasına geldiğini yazıyor – Güneydoğu Washington’daki NLRB genel merkezi DC Doge çalışanları Berulis veya NLRB’nin BT personelindeki başka biriyle konuşmadığını, ancak bunun yerine ajans liderliği ile görüştüğünü yazıyor.
Berulis, “Oyunculuk Baş Bilgi Görevimiz, Doge Hesap oluşturma ile standart işletim prosedürüne uymamamızı söyledi ve en yüksek erişim seviyesini gerektiren Doge çalışanları için oluşturulan hesaplardan yapılmış hiçbir günlük veya kayıt olmamalı” dedi.
“Denetçilerin geçmişte kullanabileceği ve kullanabileceği, ancak onaysız değişiklik yapma veya alt sistemlere erişme yeteneği vermeyecekleri roller geliştirdik” diye devam etti. “Bu hesapları kullanmaları önerisi tartışmaya açık değildi.”
Berulis, 3 Mart’ta Doge hesaplarından birinin, faaliyetlerini dünyanın geri kalanına açıklamadan programlar veya senaryolar oluşturmak ve çalıştırmak için kullanılabilecek “konteyner” olarak bilinen opak, sanal bir ortam yarattığını buldu. Berulis, konteynerin dikkatini çektiğini, çünkü meslektaşlarını sorguladığını ve hiçbirinin NLRB ağında konteyner kullanmadığını bulamadığını söyledi.
Berulis, ertesi sabahın erken saatlerinde – 4 Mart Salı günü yaklaşık 03: 00-17: 00 arasında – ajanstan giden trafikte büyük bir artış olduğunu fark ettiğini söyledi. Yeni hesaplardan birinin NLRB’lerden yaklaşık 10 gigabayt değerinde veri aktardığını belirlemek için meslektaşları ile birkaç gün sürdüğünü söyledi. Nxgen Vaka Yönetim Sistemi.
Berulis, ne kendisinin ne de iş arkadaşlarının hangi dosyaların dokunulduğunu veya aktarıldığını, hatta nereye gittiklerini gözden geçirmek için gerekli ağ erişim haklarına sahip olmadığını söyledi. Ancak şikayeti, NXGEN veritabanının sendikalar, devam eden yasal davalar ve kurumsal sırlar hakkında hassas bilgiler içerdiğini belirtiyor.
Berulis, “Ayrıca verilerin toplamda sadece 10 GB olup olmadığını veya daha önce konsolide olup olmadıklarını bilmiyorum” dedi. “Bu, daha fazla verinin daha da açıklanması olasılığını açıyor. Ne olursa olsun, bu tür bir artış son derece olağandışı çünkü veriler neredeyse hiçbir zaman doğrudan NLRB veritabanlarından ayrılmıyor.”
Berulis, kendisi ve meslektaşlarının, birkaç dakika önce oluşturulan bir Doge çalışan hesabı için geçerli giriş kimlik bilgileri sunan bir Rus İnternet adresinden (83.149.30,186) yaklaşık iki düzine giriş denemesini fark ettiklerinde daha da endişe duyduklarını söyledi. Berulis, ABD dışı konumlardan gelen girişleri yasaklayan kurallar sayesinde bu girişimlerin bloke edildiğini söyledi.
Berulis, “Oturum açmaya çalışırsa, diğer Doge ile ilgili faaliyetlerde kullanılan yeni oluşturulan hesaplardan birini kullanıyordu ve kimlik doğrulama akışının sadece ülke dışındaki giriş politikamız nedeniyle onları durdurması nedeniyle doğru kullanıcı adı ve şifreye sahip oldukları ortaya çıktı. “Bu tür 20’den fazla girişim vardı ve özellikle ilgili olan, bu giriş girişimlerinin çoğunun Doge Mühendisleri tarafından oluşturulan hesapların 15 dakika içinde gerçekleşmesi.”
Berulis’e göre, şüpheli etkinliğe bağlı bir Microsoft kullanıcı hesabının adlandırma yapısı, NLRB’nin bulut sistemlerinde DOGE kullanımı için oluşturulduğunu ve daha sonra silindiğini öne sürdü: ”Dogesa_2d5c3e0446f9@nlrb.microsoft.com. ” Ayrıca, standart olmayan kullanıcı adları içeren diğer yeni Microsoft Cloud yöneticisi hesapları da buldu.Whitesox, Chicago M.” Ve “Dancehall, Jamaika R. “
Şüpheli kullanıcı hesaplarını gösteren Berulis tarafından paylaşılan bir ekran görüntüsü.
5 Mart’ta Berulis, yakın zamanda oluşturulan ağ kaynakları için büyük bir günlük bölümünün eksik olduğunu ve Microsoft Azure “Kapalı” durumuna ayarlandı, yani artık olması gerektiği gibi veri toplamaya ve kaydetmiyordu.
Berulis, birinin üç harici kod kütüphanesini indirdiğini keşfettiğini söyledi. Zımpara ne NLRB ne de yüklenicilerinin kullanmadığı. Kod paketlerinden birinde bir “ReadMe” dosyası, bağlantıları “web kazıma ve kaba zorlama için sahte infinite IPS üretmek için bir proxy olarak hizmet veren” bir vekil olarak hizmet veren büyük bir bulut internet adresleri havuzundan döndürüldüğünü açıkladı. Brute kuvvet saldırıları, hızlı sırayla birçok kimlik bilgisi kombinasyonunu deneyen otomatik giriş girişimlerini içerir.
Şikayet, 17 Mart’a kadar NLRB’nin artık DOGE hesaplarından gelen garip faaliyeti tam olarak araştırmak için gereken kaynaklara veya ağ erişimine sahip olmadığı ve ajansın ortak baş bilgi memurunun konunun bildirilmesi gerektiğini kabul ettiğini iddia ediyor. ABD’yi destekleyen. İç Güvenlik Bakanlığı tarafından işletilmektedir Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), ABD-CERT, federal ve eyalet kurumlarına yerinde siber olay müdahale yetenekleri sunmaktadır.
Ancak Berulis, 3-4 Nisan tarihleri arasında, kendisinin ve Ortak CIO’nun “ABD-sert raporlamayı ve soruşturmayı bırakmak için talimatların geldiğini ve ilerlememeye veya resmi bir rapor oluşturmamaya yönlendirildiğini” söyledi. Berulis, bu noktada bulgularıyla halka açılmaya karar verdiğini söyledi.
Daniel Berulis’ten 28 Mart tarihli meslektaşlarına bir e -posta, ayın başlarında açıklanamayan trafik artışını ve kullanıcı hesapları için güvenlik kontrollerinin yetkisiz değişimine atıfta bulundu.
Bearese ekibiNLRB’nin oyunculuk basın sekreteri NPR’ye Doge’nin sistemlerine ne talep etmediğini ne de erişim almadığını ve “Berulis’in endişelerini dile getirdikten sonra bir soruşturma yürüttüğünü, ancak ‘ajans sistemlerinin ihlali olmadığını belirledi’ ‘dedi.
Bununla birlikte, Berulis, DOGE hesaplarına atfedilen açıklanamayan hesap etkinliği hakkında ajans e -posta tartışmalarını ve Microsoft’tan açıklanan zaman dilimleri sırasında gözlenen ağ anomalileri hakkında NLRB güvenlik uyarılarını gösteren bir dizi destekleyici ekran görüntüsünü paylaştı.
Gibi CNN Geçen ay bildirilen NLRB, o zamandan beri etkili bir şekilde hobbled Başkan Trump Üç yönetim kurulu üyesini kovdu ve ajansı işlev görmesi gereken çekirdek olmadan bıraktı.
CNN, “Sınırlamalarına rağmen, ajans, ülkenin en zengin ve en güçlü insanların bazılarının yanında bir diken haline gelmişti – özellikle Trump’ın kilit destekçisi Elon Musk, hem finansal hem de tartışmalı olarak politik olarak” diye yazdı.
İkisi birden Amazon Ve Musk’lar SpaceX NLRB’nin, NLRB’nin varlığının anayasaya aykırı olduğunu savunarak, NLRB’ye şikayetler üzerinde dava açıyor. 5 Mart’ta bir ABD temyiz mahkemesi oybirliğiyle Musk’ın NLRB’nin yapısının bir şekilde anayasayı ihlal ettiği iddiasını reddetti.
Berulis, KrebSonsecurity ile ekran görüntüleri paylaştı ve NPR’nin iddiaları hakkındaki hikayesini yayınladığını gösteren (14 Nisan), NLRB’deki CIO yardımcısı, idari kontrolün tüm çalışan hesaplarından kaldırıldığını belirten bir e -posta gönderdi. Berulis, aniden ajansdaki BT çalışanlarının hiçbirinin işlerini düzgün yapamayacağını söyledi.
NLRB’nin Yardımcı Baş Bilgi Görevlisi Eric Marks’tan bir e -posta, çalışanlara güvenlik yöneticisi ayrıcalıklarını kaybedeceklerini bildirdi.
Berulis, 16 Nisan tarihli ajans çapında bir e-postanın NLRB Direktöründen bir ekran görüntüsünü paylaştı Lasharn Hamilton Doge yetkililerinin bir toplantı talep ettiğini ve ajansın herhangi bir Doge personeli ile önceden “resmi” bir temas olmadığını iddia ettiğini söyledi. Mesaj, NLRB çalışanlarına iki Doge temsilcisinin birkaç ay boyunca yarı zamanlı ajansa ayrıntılı olarak açıklanacağını bildirdi.
16 Nisan’da NLRB Direktörü Lasharn Hamilton’dan bir e -posta, ajansın daha önce Doge personeli ile hiçbir temas olmadığını belirtti.
Berulis, KrebSonsecurity’ye, ağ yöneticisi erişimi kısıtlandığında DOGE hesapları hakkında daha fazla bilgi istemek için Microsoft ile bir destek bileti sunma sürecinde olduğunu söyledi. Şimdi, milletvekillerinden Microsoft’tan hesaplarda gerçekte neler olduğu hakkında daha fazla bilgi vermelerini isteyeceğini umuyor.
“Bu bize daha fazla fikir verecek” dedi. “Microsoft resmi bizden daha iyi görebilmeli. Zaten benim amacım.”
Berulis’in avukatı milletvekillerine 7 Nisan’da, müvekkilinin ve hukuk ekibinin bilgi uçurma şikayetini hazırlarken, birisinin Bay Berulis’in ev kapısına, mahallesinde yürüdüğü fotoğraflarla – drone ile çekilen fotoğraflarla tehdit edici bir not bantladığını söyledi.
Berulis’in avukatının önsözü, “Tehdit edici not sizin için hazırladığı bu açıklamaya açık bir şekilde atıfta bulundu” diyor. Andrew P. Bakaj. “Bunu özellikle kimin yaptığını bilmesek de, sadece NLRB sistemlerine erişme yeteneğine sahip birini içerdiğini düşünebiliriz.”
Berulis, arkadaşların, meslektaşların ve hatta halktan gelen yanıtın büyük ölçüde destekleyici olduğunu ve öne çıkma kararından pişman olmadığını söyledi.
“Kapımdaki mektubu veya geri dönüşü beklemiyordum [agency] Liderler, ”dedi.“ Bunu yapmak zorunda kalsaydım tekrar yapar mıydım? Evet, çünkü ilk kez bir seçim bile değildi. ”
Şimdilik, Bay Berulis, NLRB’den ücretli bir aile izni alıyor. Bu da, ajansta işini yapmak için gereken araçlardan sıyrıldığını düşünerek de öyle.
Berulis, “İçeri girdiler ve tam idari kontrolü aldılar ve herkesi kilitlediler ve sınırlı iznin ileride ihtiyaç temelinde atanacağını söyledi” dedi. “Gerçekten hiçbir şey yapamayız, bu yüzden tam anlamıyla tavan karolarını saymak için para alıyoruz.”
Daha fazla okuma: Berulis’in şikayeti (PDF).