2 pontos por GN⁺ 2025-04-24 | 1 comentários | Compartilhar no WhatsApp
  • O arquiteto de segurança do NLRB, Daniel J. Berulis, alegou que contas da DOGE extraíram mais de 10 GB de dados de arquivos sensíveis de casos no início de março, e foi confirmado que um dos pacotes de código baixados do GitHub era muito semelhante ao código de Marko Elez, funcionário da DOGE
  • As contas criadas para a DOGE teriam recebido privilégios de tenant admin e sido solicitadas com exceção de logging de rede, o que, segundo Berulis, dava um nível de acesso capaz de consultar, copiar e alterar dados, além de limitar a visibilidade dos logs
  • A descrição do código em questão fala em criar “pseudo-infinite IPs” com o grande pool de IPs do AWS API Gateway para uso em web scraping e força bruta, e se conecta ao requests-ip-rotator no GitHub e ao async-ip-rotator, forkado por Elez em janeiro de 2025
  • O arquivo do GitHub baixado junto também incluía a ferramenta de engenharia reversa de APIs de sites Integuru e o navegador headless para automação de tarefas web Browserless, ambos alinhados ao contexto de scraping e automação
  • Os arquivos de casos do NLRB contêm informações de funcionários que querem se sindicalizar e documentos proprietários de empresas, e Berulis teme que, se esses dados forem parar nas mãos de empresas, isso possa dar uma vantagem injusta aos réus em disputas trabalhistas em andamento

Alegações do denunciante interno do NLRB

  • O arquiteto de segurança do NLRB, Daniel J. Berulis, afirma que pessoas ligadas à DOGE retiraram gigabytes de dados de arquivos sensíveis de casos da agência no início de março
  • Segundo a denúncia interna de Berulis, representantes da DOGE se reuniram com a liderança do NLRB em 3 de março e exigiram a criação de várias contas tenant admin poderosas
    • Essas contas teriam sido solicitadas com exclusão do logging de rede, que normalmente deixa registros detalhados das atividades
    • As novas contas da DOGE teriam privilégios irrestritos para ler, copiar e alterar informações no banco de dados do NLRB
    • Também teriam permissão para limitar a visibilidade dos logs, atrasar sua retenção, enviá-los para outro lugar ou removê-los completamente
  • Berulis afirma que às contas da DOGE foram concedidos privilégios de usuário de nível máximo que nem ele nem seus superiores possuíam

Download de código do GitHub e ferramenta de rotação de IP

  • Berulis disse ter descoberto que uma das contas da DOGE baixou 3 bibliotecas externas de código do GitHub que nunca haviam sido usadas pelo NLRB nem por contratadas da agência
  • O README de um desses pacotes de código explica que ele cria “pseudo-infinite IPs” usando o grande pool de IPs do AWS API Gateway como proxy para web scraping e força bruta
  • Ao pesquisar a mesma descrição, aparece o repositório requests-ip-rotator do usuário Ge0rg3 no GitHub, apresentado como uma biblioteca que permite contornar limites de requisições baseados em IP
  • A descrição diz que se trata de uma “Python library” para gerar “pseudo-infinite IPs” para web scraping e brute forcing usando o “large IP pool” do AWS API Gateway como proxy
  • O código de Ge0rg3 é apresentado como código open source que qualquer pessoa pode copiar e reutilizar para fins não comerciais

Ligação com o async-ip-rotator de Marko Elez

  • Existe um novo projeto derivado do requests-ip-rotator de Ge0rg3, o async-ip-rotator, que o funcionário da DOGE Marko Elez publicou no GitHub em janeiro de 2025
  • O texto do README do arquivo do GitHub que, segundo o denunciante, foi baixado por um usuário da DOGE compartilha a mesma descrição do código baseado no fork de Elez
  • Elez é apresentado como um dos principais integrantes da DOGE com acesso ao sistema central de pagamentos do Treasury Department
    • Ele já trabalhou em várias empresas de Musk, como X, SpaceX e xAI
    • O The Wall Street Journal associou Elez a publicações em redes sociais que defendiam racismo e eugenia
    • Elez renunciou após a controvérsia, mas foi recontratado depois do apoio do presidente Donald Trump e do vice-presidente JD Vance
  • Segundo a Politico, Elez atualmente atua como assessor do Labor Department e foi destacado para várias agências, incluindo o Department of Health and Human Services
  • A Politico relatou, citando documentos apresentados em tribunal, que Elez violou políticas de segurança da informação no início de sua passagem pelo Treasury ao enviar a autoridades da General Services Administration uma planilha contendo nomes e informações de pagamentos

Outras ferramentas baixadas junto

  • Berulis apontou Integuru e Browserless como os outros dois arquivos do GitHub baixados por funcionários da DOGE para os sistemas do NLRB
  • Integuru é um framework de software projetado para fazer engenharia reversa das interfaces de programação de aplicações (APIs) usadas por sites para obter dados
  • Browserless é um navegador headless para automação de tarefas baseadas na web
    • web scraping
    • testes automatizados
    • tarefas que exigem vários pools de navegador

Críticas à qualidade do código e exclusão do repositório

  • Em 6 de fevereiro, alguém publicou uma longa crítica na página de issues do GitHub do async-ip-rotator de Elez e chamou o código de “insecure, unscalable and a fundamental engineering failure”
  • A crítica aponta que, se esse código fosse apenas um projeto paralelo simples, seria apenas código ruim, mas, se uma implementação semelhante tivesse sido implantada em um ambiente que lida com dados sensíveis, deveria ser auditada imediatamente
  • Após a publicação da matéria, o repositório de código de Elez foi removido
  • Uma versão arquivada do repositório excluído permanece aqui

Sensibilidade dos dados do NLRB e impacto em disputas trabalhistas

  • A denúncia interna de Berulis afirma que as contas da DOGE baixaram mais de 10 GB do banco de dados de arquivos de casos do NLRB
  • Esse banco de dados contém grande quantidade de registros sensíveis, incluindo informações sobre funcionários que querem se sindicalizar e documentos empresariais proprietários
  • Berulis disse ter vindo a público porque seus superiores o orientaram, ao contrário do acordo anterior, a não reportar o caso ao US-CERT
  • Se a transferência de dados não autorizada for real, Berulis teme que isso possa dar vantagem injusta aos réus em várias disputas trabalhistas pendentes no NLRB
    • Ele disse que qualquer empresa que obtenha dados de casos teria uma vantagem injusta
    • Disse que empresas poderiam identificar funcionários e organizadores sindicais e demiti-los sem revelar o motivo

Situação jurídica em torno do NLRB

  • O NLRB está efetivamente limitado após o presidente Trump demitir 3 integrantes do conselho, fazendo o órgão perder o quorum necessário para funcionar
  • Amazon e a SpaceX de Musk estão processando o NLRB por causa de complaints apresentadas pelo órgão em disputas sobre direitos trabalhistas e organização sindical
  • As duas empresas sustentam, em essência, que a própria existência do NLRB é inconstitucional
  • Em 5 de março, um tribunal federal de apelações dos EUA rejeitou por unanimidade a alegação do lado de Musk de que a estrutura do NLRB viola a Constituição
  • O KrebsOnSecurity informou que pediu posicionamento tanto ao NLRB quanto à DOGE e que atualizará a matéria se houver resposta

1 comentários

 
GN⁺ 2025-04-24
Comentários do Hacker News
  • O código de Ge0rg3 era open source no sentido de que qualquer pessoa podia copiá-lo e reutilizá-lo para fins não comerciais, e o “async-ip-rotator” que Marko Elez, do DOGE, publicou no GitHub em janeiro de 2025 parece ser um fork derivado desse código
    Código original: https://github.com/Ge0rg3/requests-ip-rotator
    Fork: https://github.com/markoelez/async-ip-rotator
    O código é quase igual, com apenas os comentários removidos, um pouco de async espalhado e mudanças triviais; parece que alguém colou em um LLM e pediu para convertê-lo para assíncrono. Só que a licença GPL3 original desapareceu, o que não parece ser algo que o pessoal do DOGE entenderia ou respeitaria

    • O repositório foi apagado, e outros 26 repositórios também sumiram da conta. Isso parece bater com o padrão de integrantes do DOGE apagarem dados rapidamente quando chamam atenção, algo semelhante ao que já ocorreu em outro caso anterior de “hacker adolescente”
      Página arquivada do repositório: https://archive.ph/LI7tt; cópia arquivada da contagem anterior de repositórios: https://archive.ph/tgkg5
      0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
    • Em 6 de fevereiro, alguém escreveu uma crítica longa e detalhada ao código de Elez nas issues do GitHub do async-ip-rotator, chamando-o de “inseguro, impossível de escalar e uma falha fundamental de engenharia
      O comentário dizia algo como: “se fosse um projeto paralelo, seria apenas código ruim; mas, se é assim que se constroem sistemas de produção, há uma preocupação muito maior. Esta implementação está fundamentalmente quebrada, e, se algo parecido foi implantado em um ambiente que lida com dados sensíveis, deveria ser auditado imediatamente”
    • Parece que o fork acabou de ser ocultado ou apagado. Fico curioso se alguém o clonou antes de desaparecer
    • Como a GPLv3 exige que a licença seja mantida, parece que isso poderia ser denunciado ao dono do repositório original ou ao GitHub
    • A parte de ter colocado no GitHub é ambígua. A licença GPL3 precisa ser mantida na redistribuição, mas não está claro se colocar em um repositório do GitHub é redistribuição, pelo menos do ponto de vista moral
      Remover a licença de uma cópia pessoal é totalmente permitido pelos termos da licença, e colocar isso em um repositório privado do GitHub também não seria problema. Mas, se alguém colocou em um repositório público sem intenção de distribuir, talvez por limitações de repositórios privados gratuitos, a situação fica ambígua
  • Esta parte da denúncia parece muito mais grave
    Por volta de 11 de março de 2025, métricas do NxGen teriam mostrado uso anormal em um determinado momento da semana anterior, com tempos de resposta muito acima da linha de base e um aumento de saída de rede maior do que qualquer outro registrado antes. Isso coincidiu quase exatamente com um evento de vazamento de dados, e também houve aumento de logins bloqueados pela política de acesso por serem logins do exterior
    Por exemplo, poucos dias depois de o DOGE acessar os sistemas da NLRB, um usuário com endereço IP do Krai de Primorsky, na Rússia, começou a tentar fazer login. As tentativas foram bloqueadas, mas foram consideradas especialmente preocupantes. Esse login usava uma das novas contas usadas nas atividades relacionadas ao DOGE, e, como o fluxo de autenticação só parou na política de bloqueio de login do exterior, parece que a pessoa tinha o nome de usuário e a senha corretos. Houve mais de 20 tentativas assim, e o fato de muitas terem ocorrido até 15 minutos depois de engenheiros do DOGE criarem as contas foi particularmente preocupante

    • Na interpretação mais benigna, talvez a Rússia tenha instalado um keylogger no PC do DOGE e o DOGE tenha trabalhado em uma rede pública insegura
      A pior interpretação é mais simples: eles estariam trabalhando como agentes da Rússia e permitindo a entrada dos russos, ou teriam instalado um keylogger para a Rússia
    • O artigo deveria ter resumido essa descoberta central, em vez do parágrafo quase sem importância no fim dizendo que o software de scraping encontrado no GitHub era mal escrito
      É uma evidência que sugere fortemente que pessoal do DOGE estava fazendo scraping usando vários endereços IP de nuvem
    • Fico me perguntando por que o bloqueio de “proibição de login do exterior” só ocorre depois de verificar as credenciais de login. Pareceria mais razoável bloquear antes disso
    • Se eram mesmo russos, é estranho terem tentado login a partir da Rússia. VPNs com IP residencial dos EUA são muito baratas
    • Se a conexão veio do Krai de Primorsky, é um local bem inesperado, mesmo que seja real. Isso não quer dizer necessariamente que seja falso, mas não é comum e não faz muito sentido
  • Segundo a denúncia, em 3 de março funcionários do DOGE se reuniram com a liderança da NLRB e exigiram a criação de várias contas “tenant admin” com poderes totais, excluídas do registro de rede que deixaria detalhes de todas as atividades dessas contas
    Pela navalha de Occam, a situação parece bastante clara, mas fico me perguntando se poderia haver algum motivo legítimo para esse pedido

    • O pior é o detalhe adicional do denunciante de que, cerca de 15 minutos depois de uma das contas do DOGE ser criada, houve uma tentativa de login da Rússia com a senha correta. Não há muitas explicações que façam o DOGE parecer bem
    • Fico me perguntando se é normal um sistema de software ter um recurso em que uma conta “tenant admin”, com todos os privilégios, fica como exceção ao registro de rede. Especialmente se for um sistema que depende muito de auditabilidade, isso é ainda mais estranho
    • Não há motivo legítimo. Por causa disso, não dá para aceitar pelo valor de face aquilo que o lado do DOGE de Musk afirma ter encontrado
      Sem registros de auditoria, eles também não conseguem apresentar provas de que não manipularam as descobertas. Da próxima vez que alegarem que uma pessoa de 170 anos está recebendo cheque da Previdência Social, não haverá como provar que eles não subtraíram 100 anos da data de nascimento em alguma tabela
    • Faz sentido se a ideia era esconder os rastros porque sabiam que o que pretendiam fazer não era certo
    • Não consigo pensar em nenhum motivo. Mesmo que você dê a alguém permissões amplas para acessar e modificar dados, não se desliga o log de auditoria
  • Parece bem claro que funcionários do DOGE acessaram dados aos quais não deveriam ter acesso
    Segundo a matéria, o DOGE teve acesso a contas com permissões muito amplas de consulta e alteração, e alguém ligado ao DOGE pode ter baixado 10 GB de dados. O modo como isso foi usado pode ter sido ilegal, e talvez o próprio acesso já fosse ilegal desde o início. Também não está claro se o presidente poderia conceder esse tipo de acesso; pessoalmente, acho que não poderia
    Além disso, um funcionário do DOGE baixou um código que permitia contornar restrições usando o enorme pool de IPs da AWS, esse código era muito mal escrito, e a pessoa também fez comentários racistas
    Dito isso, não entendo bem que vantagem a raspagem automática de páginas web com endereços IP “ilimitados” da AWS teria para copiar dados extremamente sensíveis do banco de dados interno da NLRB. Se um sistema com dados ultrassensíveis é acessível por IPs externos e permite que uma única conta faça login em 10 mil sessões simultâneas para raspar o banco de dados interno, então o sistema está muito quebrado. Ou talvez isso queira dizer que o código foi alterado para usar 100 ou 10 mil IPs internos da NLRB? Também fico em dúvida. A automação mencionada depois faz mais sentido como ferramenta de apoio ao trabalho

    • O autor traz a raspagem por IP, mas não explica como as coisas se conectam, o que deixa tudo bastante confuso. Não sei se esse utilitário foi usado para exfiltração de dados ou se são duas coisas completamente separadas
    • Sobre a parte de “acho que o presidente não pode”, fico me perguntando a que dados de uma agência federal o chefe do Executivo não poderia ter direito de acesso
  • Parece que o CEO da Tesla e da SpaceX, alguém que se diz ter QI alto e é conhecido como programador, na prática contratou um script kiddie para uma espécie de Delta Force de elite voltada a reduzir a tecnologia do governo

    • Eu já não gostava de Elon Musk antes de ele parecer descolado. No começo, eu era fã da Tesla, mas li o “plano mestre ultrassecreto” de Musk e achei que o presidente do conselho parecia um idiota
      Mesmo assim, depois fiquei surpreso ao ouvir avaliações de que, nos primórdios da SpaceX, Musk era um líder competente e engenhoso. Talvez fosse resultado de culto à personalidade, mas também soava plausível. Na época, parece que ele não fingia ser o principal engenheiro e entendia seu lugar como gestor de engenharia. Talvez fosse parecido com bons gerentes que, mesmo não sabendo programar, entendem bem software e sabem distinguir quando devem codar diretamente e quando devem empurrar pelo design
      No fim das contas, fama é como uma droga poderosa. Não acho que Musk tenha sido especialmente de “QI alto” e, olhando para seu primeiro casamento, parece que ele sempre foi um loser misógino, mas ser idolatrado como o “Tony Stark da vida real” parece ter estragado seu cérebro. Cetamina também não deve ajudar
    • Neste setor existe o fenômeno de pessoas que não têm determinada habilidade se convencerem de que são gênios em enxergar e aproveitar essa habilidade nos outros
      Essas pessoas procuram os “melhores dos melhores” da própria imaginação para manter por perto, e torna-se muito importante para o ego delas que essa crença não seja desafiada. Elas ficam cegas a evidências contrárias, e as pessoas que “descobriram” precisam ser extraordinárias para justificar sua capacidade de selecionar talentos
      Parece que é isso que está acontecendo aqui também. As pessoas ao redor de Elon não parecem particularmente excepcionais e sua competência é muito duvidosa, mas, para sustentar o próprio mito, ele precisa de um harém de “Super Coders
    • Estão subestimando a possibilidade de que eles queiram deliberadamente criar confusão e fazer os sistemas fracassarem. O sonho dos republicanos é que o governo fracasse e seja privatizado, e não sei se existe forma melhor de fazer o governo fracassar do que essa
    • Pelo que consigo perceber em matérias semelhantes, todos eles são script kiddies
    • Concordo com o termo script kiddie, e a cobertura em geral mostrou isso. Mas, em certo sentido, talvez essa seja a intenção
      A mensagem é que alguns jovens comuns de ciência da computação, que nem idade suficiente teriam para alugar um carro, conseguem economizar bilhões de dólares apenas revisando as informações financeiras mais básicas dos órgãos do governo. Ou seja, eles deveriam ser “estagiários”, não uma “Delta Force”
      Não estou tentando defender os meios em nome dos fins, mas gostaria que os impostos fossem usados com mais eficiência. Ao mesmo tempo, o nível de acesso concedido a eles me preocupa extremamente, e praticamente não há responsabilização
  • Mesmo ignorando quem é Marko, é estranho uma pessoa aleatória ter publicado um ataque público desse tipo no repositório. Nunca vi um repositório por acaso e senti vontade de atacar, e a crítica também tem cheiro de coisa gerada por IA
    Link citado: https://github.com/markoelez/async-ip-rotator/issues/1
    Os comentários seguintes também formam uma interação bastante estranha, interessante demais para parecer coincidência

    • Só é estranho se você “ignorar quem é Marko”. Não foi acaso; alguém expôs que os “programadores gênios” do DOGE estavam, na prática, nus
    • Em 6 de fevereiro, Marko Elez anunciou que renunciaria ao DOGE depois que o WSJ encontrou várias publicações racistas que ele havia escrito em 2024. O WSJ noticiou isso no dia 5
      Por causa disso, é bem provável que alguém tenha ficado curioso para saber qual era seu nível real de programação e tenha examinado os repositórios que ele criou. Depois, Musk fez uma “votação” no X sobre recontratar Elez para o DOGE; em 20 de fevereiro, Elez já tinha novamente um endereço de e-mail do governo dos EUA, e em 21 de fevereiro foi noticiado que ele trabalhava para o DOGE na Administração da Seguridade Social
    • O segundo comentário da issue deixa bem claro por que o primeiro comentário foi publicado. Depois de ver a notícia da renúncia, a pessoa disse que não podia deixar de comentar a hipocrisia de alguém ligado a uma conta que defendia a “normalização do ódio contra indianos” e uma “política migratória eugenista” ter essas opiniões no contexto do setor de TI
    • Cerca de 20 minutos depois de o comentário do OP ser publicado, o repositório saiu do ar. Link arquivado: https://web.archive.org/web/20250423135719/https://github.co...
    • Não vejo por que encarar isso como estranho. O usuário que escreveu aquilo parece ser ativo há bastante tempo e, vendo os repositórios públicos, parece trabalhar em um contexto adjacente, então é perfeitamente possível que tenha tentado usar async-ip-rotator em seu próprio projeto
  • O próprio fato de terem deixado esses pacotes públicos no GitHub é estranho. Não sabem que dá para torná-los privados? Sinceramente, isso mostra o quanto essa gente é burra

    • Ou talvez tenham ficado ousados porque sabem que não vai haver consequência nenhuma
      Basta olhar a lista de indultos concedidos por esta administração. Eles nem sequer serão processados
    • Neste caso específico talvez não tenha grande importância, mas forks privados no GitHub não são totalmente privados: https://docs.github.com/en/pull-requests/collaborating-with-...
    • Para tornar privado um fork de um repositório público, é preciso usar a linha de comando do git
    • Eles reutilizaram pacotes públicos, e esses pacotes estavam públicos havia anos. Uma pessoa adicionou mudanças e criou um fork público; não é esse o objetivo do open source?
  • Alguém deveria ir para a prisão por isso. Não é um simples mal-entendido, é um ataque deliberado contra todos os cidadãos dos EUA

    • As pessoas que precisam ver e entender isso vivem em outra realidade, e fatos inconvenientes como esse são extraídos, transformados e carregados como indignação moral contra gente de quem elas não gostam
      O deep state com o qual elas se preocupavam é exatamente isto, e a bota que vai pisoteá-las também é isto
      Edit: o comentário pai era o mais bem ranqueado neste artigo e agora está lá embaixo?
    • Neste momento, a chance de algo assim acontecer é 0
    • Parece que você esqueceu quem é o presidente. Eles vão escapar impunes disso tudo e de todo o resto. Isso não significa que não se deva tentar, mas é preciso ser realista
    • Acredito que Trump tenha uma pilha de indultos na gaveta para todos os envolvidos nessa situação. Se achassem que um dia teriam de enfrentar consequências, não estariam violando tantas leis por todo o governo
      Se o instrumento para impedir que o próximo Congresso e a próxima administração resolvam isso não for o indulto, a alternativa é sombria demais para considerar
    • Mesmo que alguém tente processá-los, no fim eles serão indultados, então, na prática, vejo isso como difícil
  • Ter acesso total a bancos de dados do governo de uma forma impossível de rastrear tem efeitos em cadeia difíceis até de imaginar

    • O que ouvimos são apenas os casos em que alguém assumiu o risco de denunciar internamente e de fato conseguiu trazer a história a público
      Só espero que haja evidências suficientes para que as pessoas levem isso a sério. Quantos casos ainda poderiam vir à tona fica a critério do leitor imaginar
    • Na prática, eles tiveram acesso direto a dados pessoais relacionados a denúncias contra empresas pertencentes a Musk
  • Não sei exatamente o que estão alegando. Que o pessoal do DOGE escreveu/usou código “hacker” do GitHub para contornar as restrições de segurança dos dados do NLRB? Se eles já tinham uma conta de superusuário no sistema, por que precisariam fazer isso?

    • O ponto do artigo parece ser que é possível corroborar as alegações originais do denunciante com material público. É mais um dado mostrando que o pessoal do DOGE, na melhor das hipóteses, está agindo de forma desleixada; e a interpretação mais provável é que eles estejam tentando esconder rastros porque sabem que o que fazem não passaria por uma análise jurídica
    • O DOGE baixou uma biblioteca que ajuda na exfiltração de dados e, de fato, exfiltrou dados obtidos com uma conta de superusuário
      Recomendo ler o documento da denúncia: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
    • O artigo foi muito mal escrito. O próprio documento público é muito mais fácil de ler
      https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
    • O ponto central fica meio enterrado, mas a implicação é que eles poderiam baixar grandes volumes de dados sobre organizadores sindicais e repassá-los a uma empresa, que então poderia demitir essas pessoas preventivamente
    • Porque adicionaram um backdoor que não aparece nos logs de auditoria