3 pontos por GN⁺ 2025-02-15 | 1 comentários | Compartilhar no WhatsApp
  • Foi constatado que o doge.gov, que acompanha o status dos cortes no governo federal por Elon Musk, está obtendo dados de um banco de dados que pode ser modificado por pessoas de fora
  • Duas pessoas que descobriram a vulnerabilidade compartilharam com a 404 Media que era possível fazer gravações por terceiros e que o conteúdo inserido aparecia de fato no site
  • Um programador adicionou pelo menos 2 entradas ao banco de dados visíveis no site ao vivo, incluindo frases zombando do site .gov e apontando o banco de dados aberto
  • O site foi lançado às pressas depois que Musk disse que publicaria as atividades do DOGE na conta @DOGE no X e no site do DOGE; depois disso, foram adicionados um espelho de postagens e estatísticas da força de trabalho federal
  • Dois especialistas em desenvolvimento web, sob anonimato, acreditam que o doge.gov parece ter sido construído sobre o Cloudflare Pages, e que o código real em execução também é implantado lá

Banco de dados do doge.gov editável por terceiros

  • O doge.gov é um site criado para acompanhar as atividades de Elon Musk de redução do governo federal
  • Duas pessoas que descobriram a vulnerabilidade disseram à 404 Media que o site obtém dados de um banco de dados que qualquer pessoa pode modificar
  • Verificou-se que, quando um terceiro grava uma entrada no banco de dados, essa entrada passa a ser exibida no site ao vivo

Entradas inseridas exibidas no site real

  • Um programador adicionou pelo menos 2 entradas ao banco de dados, e essas entradas apareciam de fato no site doge.gov
    • “this is a joke of a .gov site”
    • “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
  • As duas entradas eram tratadas como itens exibidos na página workforce do doge.gov

Site do DOGE expandido às pressas

  • O doge.gov foi lançado às pressas depois que Elon Musk disse a jornalistas que o Department of Government Efficiency estava tentando ser “o mais transparente possível”
  • Musk disse que publicaria as ações do DOGE na conta do DOGE no X e no site do DOGE
  • Na época, o site do DOGE era praticamente uma página vazia
  • Depois, na quarta e na quinta-feira, o site foi sendo mais desenvolvido e os seguintes recursos foram adicionados
    • espelho de postagens da conta @DOGE no X
    • várias estatísticas relacionadas à força de trabalho do governo federal dos EUA

Indícios de implantação com Cloudflare Pages

  • Dois especialistas em desenvolvimento web que pediram anonimato acreditam que o doge.gov parece ter sido construído sobre um site do Cloudflare Pages
  • Eles pediram anonimato porque estavam examinando sites federais
  • Os dois disseram que, no momento, o doge.gov aparentemente não está hospedado em servidores do governo
  • O banco de dados do qual o site obtém informações permite escrita por terceiros, e conteúdo já escrito por terceiros estava sendo exibido no site real
  • As duas fontes confirmaram que o doge.gov obtém dados de um site do Cloudflare Pages onde o código real em execução está implantado

1 comentários

 
GN⁺ 2025-02-15
Comentários do Hacker News
  • https://archive.ph/wy1Wt

  • U.S. Digital Service (USDS) já tinha, muito antes de ser absorvido pelo DOGE, uma longa experiência em criar e implantar sites estáticos para o governo federal, e fazia todo o processo de forma pública
    Em poucos minutos, dá para clonar o usds.gov inteiro feito em Jekyll (2.700 assets e documentos, 150 MB) e reimplantá-lo localmente ou no S3, e as instruções de deploy também estão todas documentadas: https://github.com/usds/website

    • Conheci o USDS no Hacker News tempos atrás e sempre achei impressionante. Se alguém, de boa-fé, quisesse criar um “DOGE”, ou seja, aumentar a eficiência em vez de destruir o governo, acho que teria a aparência de ampliar a autoridade e o escopo de uma organização como o USDS
    • Ter um procedimento operacional padrão (SOP) para conteúdo estático me parece bem positivo
      Uso vários SOPs todos os dias, e o princípio é que, mesmo que você só se lembre do nome e esqueça todo o resto, deveria conseguir encontrar o documento, reaprender o processo e obter quase o mesmo resultado. Dá para encontrar em documentos soviéticos dos anos 1950 algo parecido com SOPs modernos, mas documentos da Marinha dos EUA, como SOP de dobragem ou SOP de banho militar, são especialmente práticos
    • Eles estão implantando sites do governo federal que são alvo de agentes estatais e executando scripts de shell diretamente da web pública?
      O Dockerfile tem curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.sh
    • Vejo as mudanças recentes, mas fico curioso se dá para conferir também timestamps anteriores para fins de arquivamento
  • Quero falar sobre o hack em si. Alguém consegue dar uma explicação mais detalhada do que “deixaram o banco de dados aberto”? Vim aqui para ver isso direito, mas ainda não apareceu

    • Alguém fez a desminificação do JavaScript e descobriu que vários endpoints REST dentro dele eram endpoints CRUD sem validação para o site
      https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
    • Segundo minha fonte, havia endpoints de API inseguros que podiam ser modificados
    • Com algo como “terceiros conseguiam escrever no banco de dados que o site lê, e esse conteúdo aparecia no site ao vivo”, não há informação suficiente para afirmar com certeza
      Poderia ser injeção de SQL, ou credenciais expostas no frontend
    • Meu voto é em injeção de SQL
    • O artigo está atrás de paywall, mas, na prática, parece algo limitado ao feed do Twitter exibido no site
      Basicamente, o site estava hospedado na Cloudflare, e parece que era possível inserir tweets falsos no conteúdo registrado no site, não no feed real do Twitter do DOGE. Não parece que dados reais tenham vazado
  • Ironicamente, o registro WHOIS aponta para a CISA, ou seja, a Cybersecurity and Infrastructure Security Agency. Isso inspira bastante confiança

  • O site de economias disse que mostraria os recibos até o Dia dos Namorados
    https://www.doge.gov/savings
    Agora diz “recibos serão publicados no fim de semana!”. Da próxima vez, vai ser “o site está pronto para os recibos”

    • Você quer dizer como as outras promessas do Musk, tipo FSD?
    • Parece que começaram a subir alguns dados. Não sei o que é FPDS, mas todos os documentos parecem renderizados com um tema OSX Aqua
      Muitos cortes à primeira vista parecem “fazer sentido”, mas isso muda quando você descobre que “corte de assinaturas de revistas” na verdade significa “cortar fontes de notícias financeiras do Consumer Financial Protection Bureau” ou “não renovar assinaturas de notícias confiáveis para pessoas que realmente precisam entender assuntos atuais”
      Também há muitos cortes em treinamentos de DEI/diversidade, e isso parece menos uma guerra contra “tratar as pessoas de fato com gentileza” e mais algo mirado nos grupos que esse treinamento ajuda os funcionários a atender melhor. Se pensarmos em reduzir DEI no SNAP, os dados atribuídos ao USDA dizem que cinco grupos étnicos e “raça desconhecida” estão inscritos no SNAP. Dá para imaginar como treinar pessoas para entender, interagir e ajudar pessoas de diferentes origens étnicas que precisam desse tipo de assistência
      Empatia e compreensão são habilidades muito boas nesses papéis, e vejo DEI como algo que oferece esse treinamento a todos os envolvidos. A visão comum da direita é que DEI é racista e anti-brancos, mas ela deixa de fora a ideia de que pessoas não brancas também podem precisar desse treinamento. DEI é entender diferenças, mas a direita lê isso como “entender não brancos” e parece se incomodar com o simples fato de ter de pensar em outras culturas
      Outro corte foi no orçamento de treinamento de gênero, e esse treinamento era para um escritório relacionado a tecnologia e engenharia. Essas áreas há muito são notoriamente dominadas por homens, então dá para entender que esse tipo de treinamento seja útil. Pelo que já ouvi sobre como as pessoas falam e agem com mulheres e pessoas queer no setor de tecnologia, acho que treinamento é necessário
      Esses programas não tentam doutrinar as pessoas sobre o que pensar. Se alguém não consegue interagir com o mundo com empatia, um treinamento corporativo não vai mudar isso. Mas ele pode ensinar como interagir e trabalhar de forma produtiva em um ambiente profissional. Nas empresas, é para ganhar mais dinheiro; no governo, é para ajudar mais pessoas. Isso inclui tanto os funcionários quanto as comunidades atendidas
      No fim, Trump está fazendo o que disse que faria, e os detalhes são sombrios
  • Mover rápido e quebrar coisas, versão governo

  • DOGE parece combinar ainda melhor com “Vox Populi, Vox Dei” do que o Twitter

  • Com amigos assim, quem precisa de inimigos?

  • Talvez seja preciso demitir essa turma e substituí-la por engenheiros de verdade
    Como alguns deles devem ler o Hacker News, fica o conselho: larguem o ChatGPT e aprendam direito o que estão fazendo

    • Engenheiros de verdade provavelmente vão querer remuneração e carga horária razoáveis, e também não vão confundir o chefe com um deus vivo
      Podem até ter autoconfiança e senso moral, o que provavelmente seria motivo de desclassificação total
    • O fato de todos serem jovens demais explica por que eu nem consegui uma entrevista. Aos 28 anos, eu já era velho demais para trabalhar lá
    • Eles não são profissionais conscienciosos, são ideólogos
    • A pessoa necessária teria que cumprir três condições: ser um bom engenheiro experiente, não ter ética e aceitar uma remuneração abaixo do valor de mercado de um bom engenheiro experiente sem ética
  • Vocês não enxergam o que realmente está acontecendo aqui? Dar a uma “agência governamental” um nome tirado de uma moeda meme e interromper o presidente de fato sentado no Salão Oval enquanto está de boné
    Elon quer sinalizar que não tem respeito pelas instituições do nosso país. Por que Trump faria algo tão mesquinho quanto mudar só o nome de Mexico? É um teste decisivo para ver quem obedece à demonstração de poder mais absurda. Hoje isso foi colocado em prática ao barrar a AP do Salão Oval e do AF1 por ela não ter se ajoelhado nessa questão. Isso é muito mais sombrio do que Elon simplesmente saindo do controle

    • Sim. Isto é um golpe fascista de neonazistas
    • Isto é muito, muito pior do que o 11 de Setembro
      Talvez seja só que a primeira torre ainda não desabou, e você pode achar que a bola de fogo sumiu e que os bombeiros estão subindo as escadas, então o resgate virá em breve. Mas, abaixo da superfície, o fogo está branco de tão quente, e o aço fica mais quente e mais mole a cada minuto
      Não é preciso procurar muito para encontrar exemplos de mudanças minúsculas feitas por governos anteriores que tiveram consequências enormes e inesperadas. Estamos sendo completamente cozidos
    • Exatamente. Eles inventam algo sem sentido, chamam de oficial e, se você não acompanhar, proíbem você por estar espalhando mentiras. Ditadura 101
    • O espírito empreendedor dos EUA alimentou uma paranoia persecutória e agora quer vingança
      Vão implementar políticas protecionistas, empurrar cortes de gastos antes de uma reforma tributária para mostrar “olha quanto economizamos”, e então tentar liquidar um portfólio de centenas de bilhões de dólares enquanto esperam que o mercado suba, para se aposentar numa ilha
      Pelo menos essa é a teoria. Os EUA parecem não querer admitir que o CCP tem a capacidade industrial dos EUA na palma da mão e que, com planejamento central, pode deslocar à vontade o mercado americano de veículos elétricos ou a tonelagem naval. Há a suposição de que a desregulamentação finalmente será a panaceia para os problemas dos EUA, mas não é possível persegui-la de forma consistente com a política comercial mundial. Não dá para sancionar o ICC e, ao mesmo tempo, exigir que outros países extraditem criminosos para os EUA; nem abandonar o Human Rights Council e, ao mesmo tempo, exigir que outros países respeitem nossa autoridade moral
      Os próximos 4 anos servirão para o mundo civilizado provar de novo que consegue viver sem os EUA. Trump vai bajular ditadores estrangeiros, e o resto ficará batendo o pé enquanto espera outra primária. A estagnação ao estilo 2016 é o melhor cenário; a sorte é que os principais inimigos dos EUA também estão passando por dificuldades agora. Se Trump estivesse no cargo na época de Nixon ou Reagan, teria sido fim de jogo para os EUA