O site doge.gov que qualquer pessoa pode atualizar
(404media.co)- Foi constatado que o doge.gov, que acompanha o status dos cortes no governo federal por Elon Musk, está obtendo dados de um banco de dados que pode ser modificado por pessoas de fora
- Duas pessoas que descobriram a vulnerabilidade compartilharam com a 404 Media que era possível fazer gravações por terceiros e que o conteúdo inserido aparecia de fato no site
- Um programador adicionou pelo menos 2 entradas ao banco de dados visíveis no site ao vivo, incluindo frases zombando do site .gov e apontando o banco de dados aberto
- O site foi lançado às pressas depois que Musk disse que publicaria as atividades do DOGE na conta @DOGE no X e no site do DOGE; depois disso, foram adicionados um espelho de postagens e estatísticas da força de trabalho federal
- Dois especialistas em desenvolvimento web, sob anonimato, acreditam que o doge.gov parece ter sido construído sobre o Cloudflare Pages, e que o código real em execução também é implantado lá
Banco de dados do doge.gov editável por terceiros
- O doge.gov é um site criado para acompanhar as atividades de Elon Musk de redução do governo federal
- Duas pessoas que descobriram a vulnerabilidade disseram à 404 Media que o site obtém dados de um banco de dados que qualquer pessoa pode modificar
- Verificou-se que, quando um terceiro grava uma entrada no banco de dados, essa entrada passa a ser exibida no site ao vivo
Entradas inseridas exibidas no site real
- Um programador adicionou pelo menos 2 entradas ao banco de dados, e essas entradas apareciam de fato no site doge.gov
- “this is a joke of a .gov site”
- “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
- As duas entradas eram tratadas como itens exibidos na página workforce do doge.gov
Site do DOGE expandido às pressas
- O doge.gov foi lançado às pressas depois que Elon Musk disse a jornalistas que o Department of Government Efficiency estava tentando ser “o mais transparente possível”
- Musk disse que publicaria as ações do DOGE na conta do DOGE no X e no site do DOGE
- Na época, o site do DOGE era praticamente uma página vazia
- Depois, na quarta e na quinta-feira, o site foi sendo mais desenvolvido e os seguintes recursos foram adicionados
- espelho de postagens da conta @DOGE no X
- várias estatísticas relacionadas à força de trabalho do governo federal dos EUA
Indícios de implantação com Cloudflare Pages
- Dois especialistas em desenvolvimento web que pediram anonimato acreditam que o doge.gov parece ter sido construído sobre um site do Cloudflare Pages
- Eles pediram anonimato porque estavam examinando sites federais
- Os dois disseram que, no momento, o doge.gov aparentemente não está hospedado em servidores do governo
- O banco de dados do qual o site obtém informações permite escrita por terceiros, e conteúdo já escrito por terceiros estava sendo exibido no site real
- As duas fontes confirmaram que o doge.gov obtém dados de um site do Cloudflare Pages onde o código real em execução está implantado
1 comentários
Comentários do Hacker News
https://archive.ph/wy1Wt
U.S. Digital Service (USDS) já tinha, muito antes de ser absorvido pelo DOGE, uma longa experiência em criar e implantar sites estáticos para o governo federal, e fazia todo o processo de forma pública
Em poucos minutos, dá para clonar o usds.gov inteiro feito em Jekyll (2.700 assets e documentos, 150 MB) e reimplantá-lo localmente ou no S3, e as instruções de deploy também estão todas documentadas: https://github.com/usds/website
Uso vários SOPs todos os dias, e o princípio é que, mesmo que você só se lembre do nome e esqueça todo o resto, deveria conseguir encontrar o documento, reaprender o processo e obter quase o mesmo resultado. Dá para encontrar em documentos soviéticos dos anos 1950 algo parecido com SOPs modernos, mas documentos da Marinha dos EUA, como SOP de dobragem ou SOP de banho militar, são especialmente práticos
O Dockerfile tem
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.shQuero falar sobre o hack em si. Alguém consegue dar uma explicação mais detalhada do que “deixaram o banco de dados aberto”? Vim aqui para ver isso direito, mas ainda não apareceu
https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
Poderia ser injeção de SQL, ou credenciais expostas no frontend
Basicamente, o site estava hospedado na Cloudflare, e parece que era possível inserir tweets falsos no conteúdo registrado no site, não no feed real do Twitter do DOGE. Não parece que dados reais tenham vazado
Ironicamente, o registro WHOIS aponta para a CISA, ou seja, a Cybersecurity and Infrastructure Security Agency. Isso inspira bastante confiança
O site de economias disse que mostraria os recibos até o Dia dos Namorados
https://www.doge.gov/savings
Agora diz “recibos serão publicados no fim de semana!”. Da próxima vez, vai ser “o site está pronto para os recibos”
Muitos cortes à primeira vista parecem “fazer sentido”, mas isso muda quando você descobre que “corte de assinaturas de revistas” na verdade significa “cortar fontes de notícias financeiras do Consumer Financial Protection Bureau” ou “não renovar assinaturas de notícias confiáveis para pessoas que realmente precisam entender assuntos atuais”
Também há muitos cortes em treinamentos de DEI/diversidade, e isso parece menos uma guerra contra “tratar as pessoas de fato com gentileza” e mais algo mirado nos grupos que esse treinamento ajuda os funcionários a atender melhor. Se pensarmos em reduzir DEI no SNAP, os dados atribuídos ao USDA dizem que cinco grupos étnicos e “raça desconhecida” estão inscritos no SNAP. Dá para imaginar como treinar pessoas para entender, interagir e ajudar pessoas de diferentes origens étnicas que precisam desse tipo de assistência
Empatia e compreensão são habilidades muito boas nesses papéis, e vejo DEI como algo que oferece esse treinamento a todos os envolvidos. A visão comum da direita é que DEI é racista e anti-brancos, mas ela deixa de fora a ideia de que pessoas não brancas também podem precisar desse treinamento. DEI é entender diferenças, mas a direita lê isso como “entender não brancos” e parece se incomodar com o simples fato de ter de pensar em outras culturas
Outro corte foi no orçamento de treinamento de gênero, e esse treinamento era para um escritório relacionado a tecnologia e engenharia. Essas áreas há muito são notoriamente dominadas por homens, então dá para entender que esse tipo de treinamento seja útil. Pelo que já ouvi sobre como as pessoas falam e agem com mulheres e pessoas queer no setor de tecnologia, acho que treinamento é necessário
Esses programas não tentam doutrinar as pessoas sobre o que pensar. Se alguém não consegue interagir com o mundo com empatia, um treinamento corporativo não vai mudar isso. Mas ele pode ensinar como interagir e trabalhar de forma produtiva em um ambiente profissional. Nas empresas, é para ganhar mais dinheiro; no governo, é para ajudar mais pessoas. Isso inclui tanto os funcionários quanto as comunidades atendidas
No fim, Trump está fazendo o que disse que faria, e os detalhes são sombrios
Mover rápido e quebrar coisas, versão governo
DOGE parece combinar ainda melhor com “Vox Populi, Vox Dei” do que o Twitter
Com amigos assim, quem precisa de inimigos?
Talvez seja preciso demitir essa turma e substituí-la por engenheiros de verdade
Como alguns deles devem ler o Hacker News, fica o conselho: larguem o ChatGPT e aprendam direito o que estão fazendo
Podem até ter autoconfiança e senso moral, o que provavelmente seria motivo de desclassificação total
Vocês não enxergam o que realmente está acontecendo aqui? Dar a uma “agência governamental” um nome tirado de uma moeda meme e interromper o presidente de fato sentado no Salão Oval enquanto está de boné
Elon quer sinalizar que não tem respeito pelas instituições do nosso país. Por que Trump faria algo tão mesquinho quanto mudar só o nome de Mexico? É um teste decisivo para ver quem obedece à demonstração de poder mais absurda. Hoje isso foi colocado em prática ao barrar a AP do Salão Oval e do AF1 por ela não ter se ajoelhado nessa questão. Isso é muito mais sombrio do que Elon simplesmente saindo do controle
Talvez seja só que a primeira torre ainda não desabou, e você pode achar que a bola de fogo sumiu e que os bombeiros estão subindo as escadas, então o resgate virá em breve. Mas, abaixo da superfície, o fogo está branco de tão quente, e o aço fica mais quente e mais mole a cada minuto
Não é preciso procurar muito para encontrar exemplos de mudanças minúsculas feitas por governos anteriores que tiveram consequências enormes e inesperadas. Estamos sendo completamente cozidos
Vão implementar políticas protecionistas, empurrar cortes de gastos antes de uma reforma tributária para mostrar “olha quanto economizamos”, e então tentar liquidar um portfólio de centenas de bilhões de dólares enquanto esperam que o mercado suba, para se aposentar numa ilha
Pelo menos essa é a teoria. Os EUA parecem não querer admitir que o CCP tem a capacidade industrial dos EUA na palma da mão e que, com planejamento central, pode deslocar à vontade o mercado americano de veículos elétricos ou a tonelagem naval. Há a suposição de que a desregulamentação finalmente será a panaceia para os problemas dos EUA, mas não é possível persegui-la de forma consistente com a política comercial mundial. Não dá para sancionar o ICC e, ao mesmo tempo, exigir que outros países extraditem criminosos para os EUA; nem abandonar o Human Rights Council e, ao mesmo tempo, exigir que outros países respeitem nossa autoridade moral
Os próximos 4 anos servirão para o mundo civilizado provar de novo que consegue viver sem os EUA. Trump vai bajular ditadores estrangeiros, e o resto ficará batendo o pé enquanto espera outra primária. A estagnação ao estilo 2016 é o melhor cenário; a sorte é que os principais inimigos dos EUA também estão passando por dificuldades agora. Se Trump estivesse no cargo na época de Nixon ou Reagan, teria sido fim de jogo para os EUA