Código de engenheiro da DOGE corrobora alegação de denunciante interno do NLRB
(krebsonsecurity.com)- O arquiteto de segurança do NLRB, Daniel J. Berulis, alegou que contas da DOGE extraíram mais de 10 GB de dados de arquivos sensíveis de casos no início de março, e foi confirmado que um dos pacotes de código baixados do GitHub era muito semelhante ao código de Marko Elez, funcionário da DOGE
- As contas criadas para a DOGE teriam recebido privilégios de tenant admin e sido solicitadas com exceção de logging de rede, o que, segundo Berulis, dava um nível de acesso capaz de consultar, copiar e alterar dados, além de limitar a visibilidade dos logs
- A descrição do código em questão fala em criar “pseudo-infinite IPs” com o grande pool de IPs do AWS API Gateway para uso em web scraping e força bruta, e se conecta ao requests-ip-rotator no GitHub e ao async-ip-rotator, forkado por Elez em janeiro de 2025
- O arquivo do GitHub baixado junto também incluía a ferramenta de engenharia reversa de APIs de sites Integuru e o navegador headless para automação de tarefas web Browserless, ambos alinhados ao contexto de scraping e automação
- Os arquivos de casos do NLRB contêm informações de funcionários que querem se sindicalizar e documentos proprietários de empresas, e Berulis teme que, se esses dados forem parar nas mãos de empresas, isso possa dar uma vantagem injusta aos réus em disputas trabalhistas em andamento
Alegações do denunciante interno do NLRB
- O arquiteto de segurança do NLRB, Daniel J. Berulis, afirma que pessoas ligadas à DOGE retiraram gigabytes de dados de arquivos sensíveis de casos da agência no início de março
- Segundo a denúncia interna de Berulis, representantes da DOGE se reuniram com a liderança do NLRB em 3 de março e exigiram a criação de várias contas tenant admin poderosas
- Essas contas teriam sido solicitadas com exclusão do logging de rede, que normalmente deixa registros detalhados das atividades
- As novas contas da DOGE teriam privilégios irrestritos para ler, copiar e alterar informações no banco de dados do NLRB
- Também teriam permissão para limitar a visibilidade dos logs, atrasar sua retenção, enviá-los para outro lugar ou removê-los completamente
- Berulis afirma que às contas da DOGE foram concedidos privilégios de usuário de nível máximo que nem ele nem seus superiores possuíam
Download de código do GitHub e ferramenta de rotação de IP
- Berulis disse ter descoberto que uma das contas da DOGE baixou 3 bibliotecas externas de código do GitHub que nunca haviam sido usadas pelo NLRB nem por contratadas da agência
- O README de um desses pacotes de código explica que ele cria “pseudo-infinite IPs” usando o grande pool de IPs do AWS API Gateway como proxy para web scraping e força bruta
- Ao pesquisar a mesma descrição, aparece o repositório requests-ip-rotator do usuário Ge0rg3 no GitHub, apresentado como uma biblioteca que permite contornar limites de requisições baseados em IP
- A descrição diz que se trata de uma “Python library” para gerar “pseudo-infinite IPs” para web scraping e brute forcing usando o “large IP pool” do AWS API Gateway como proxy
- O código de Ge0rg3 é apresentado como código open source que qualquer pessoa pode copiar e reutilizar para fins não comerciais
Ligação com o async-ip-rotator de Marko Elez
- Existe um novo projeto derivado do requests-ip-rotator de Ge0rg3, o async-ip-rotator, que o funcionário da DOGE Marko Elez publicou no GitHub em janeiro de 2025
- O texto do README do arquivo do GitHub que, segundo o denunciante, foi baixado por um usuário da DOGE compartilha a mesma descrição do código baseado no fork de Elez
- Elez é apresentado como um dos principais integrantes da DOGE com acesso ao sistema central de pagamentos do Treasury Department
- Ele já trabalhou em várias empresas de Musk, como X, SpaceX e xAI
- O The Wall Street Journal associou Elez a publicações em redes sociais que defendiam racismo e eugenia
- Elez renunciou após a controvérsia, mas foi recontratado depois do apoio do presidente Donald Trump e do vice-presidente JD Vance
- Segundo a Politico, Elez atualmente atua como assessor do Labor Department e foi destacado para várias agências, incluindo o Department of Health and Human Services
- A Politico relatou, citando documentos apresentados em tribunal, que Elez violou políticas de segurança da informação no início de sua passagem pelo Treasury ao enviar a autoridades da General Services Administration uma planilha contendo nomes e informações de pagamentos
Outras ferramentas baixadas junto
- Berulis apontou Integuru e Browserless como os outros dois arquivos do GitHub baixados por funcionários da DOGE para os sistemas do NLRB
- Integuru é um framework de software projetado para fazer engenharia reversa das interfaces de programação de aplicações (APIs) usadas por sites para obter dados
- Browserless é um navegador headless para automação de tarefas baseadas na web
- web scraping
- testes automatizados
- tarefas que exigem vários pools de navegador
Críticas à qualidade do código e exclusão do repositório
- Em 6 de fevereiro, alguém publicou uma longa crítica na página de issues do GitHub do async-ip-rotator de Elez e chamou o código de “insecure, unscalable and a fundamental engineering failure”
- A crítica aponta que, se esse código fosse apenas um projeto paralelo simples, seria apenas código ruim, mas, se uma implementação semelhante tivesse sido implantada em um ambiente que lida com dados sensíveis, deveria ser auditada imediatamente
- Após a publicação da matéria, o repositório de código de Elez foi removido
- Uma versão arquivada do repositório excluído permanece aqui
Sensibilidade dos dados do NLRB e impacto em disputas trabalhistas
- A denúncia interna de Berulis afirma que as contas da DOGE baixaram mais de 10 GB do banco de dados de arquivos de casos do NLRB
- Esse banco de dados contém grande quantidade de registros sensíveis, incluindo informações sobre funcionários que querem se sindicalizar e documentos empresariais proprietários
- Berulis disse ter vindo a público porque seus superiores o orientaram, ao contrário do acordo anterior, a não reportar o caso ao US-CERT
- Se a transferência de dados não autorizada for real, Berulis teme que isso possa dar vantagem injusta aos réus em várias disputas trabalhistas pendentes no NLRB
- Ele disse que qualquer empresa que obtenha dados de casos teria uma vantagem injusta
- Disse que empresas poderiam identificar funcionários e organizadores sindicais e demiti-los sem revelar o motivo
Situação jurídica em torno do NLRB
- O NLRB está efetivamente limitado após o presidente Trump demitir 3 integrantes do conselho, fazendo o órgão perder o quorum necessário para funcionar
- Amazon e a SpaceX de Musk estão processando o NLRB por causa de complaints apresentadas pelo órgão em disputas sobre direitos trabalhistas e organização sindical
- As duas empresas sustentam, em essência, que a própria existência do NLRB é inconstitucional
- Em 5 de março, um tribunal federal de apelações dos EUA rejeitou por unanimidade a alegação do lado de Musk de que a estrutura do NLRB viola a Constituição
- O KrebsOnSecurity informou que pediu posicionamento tanto ao NLRB quanto à DOGE e que atualizará a matéria se houver resposta
1 comentários
Comentários do Hacker News
O código de Ge0rg3 era open source no sentido de que qualquer pessoa podia copiá-lo e reutilizá-lo para fins não comerciais, e o “async-ip-rotator” que Marko Elez, do DOGE, publicou no GitHub em janeiro de 2025 parece ser um fork derivado desse código
Código original: https://github.com/Ge0rg3/requests-ip-rotator
Fork: https://github.com/markoelez/async-ip-rotator
O código é quase igual, com apenas os comentários removidos, um pouco de
asyncespalhado e mudanças triviais; parece que alguém colou em um LLM e pediu para convertê-lo para assíncrono. Só que a licença GPL3 original desapareceu, o que não parece ser algo que o pessoal do DOGE entenderia ou respeitariaPágina arquivada do repositório: https://archive.ph/LI7tt; cópia arquivada da contagem anterior de repositórios: https://archive.ph/tgkg5
0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
O comentário dizia algo como: “se fosse um projeto paralelo, seria apenas código ruim; mas, se é assim que se constroem sistemas de produção, há uma preocupação muito maior. Esta implementação está fundamentalmente quebrada, e, se algo parecido foi implantado em um ambiente que lida com dados sensíveis, deveria ser auditado imediatamente”
Remover a licença de uma cópia pessoal é totalmente permitido pelos termos da licença, e colocar isso em um repositório privado do GitHub também não seria problema. Mas, se alguém colocou em um repositório público sem intenção de distribuir, talvez por limitações de repositórios privados gratuitos, a situação fica ambígua
Esta parte da denúncia parece muito mais grave
Por volta de 11 de março de 2025, métricas do NxGen teriam mostrado uso anormal em um determinado momento da semana anterior, com tempos de resposta muito acima da linha de base e um aumento de saída de rede maior do que qualquer outro registrado antes. Isso coincidiu quase exatamente com um evento de vazamento de dados, e também houve aumento de logins bloqueados pela política de acesso por serem logins do exterior
Por exemplo, poucos dias depois de o DOGE acessar os sistemas da NLRB, um usuário com endereço IP do Krai de Primorsky, na Rússia, começou a tentar fazer login. As tentativas foram bloqueadas, mas foram consideradas especialmente preocupantes. Esse login usava uma das novas contas usadas nas atividades relacionadas ao DOGE, e, como o fluxo de autenticação só parou na política de bloqueio de login do exterior, parece que a pessoa tinha o nome de usuário e a senha corretos. Houve mais de 20 tentativas assim, e o fato de muitas terem ocorrido até 15 minutos depois de engenheiros do DOGE criarem as contas foi particularmente preocupante
A pior interpretação é mais simples: eles estariam trabalhando como agentes da Rússia e permitindo a entrada dos russos, ou teriam instalado um keylogger para a Rússia
É uma evidência que sugere fortemente que pessoal do DOGE estava fazendo scraping usando vários endereços IP de nuvem
Segundo a denúncia, em 3 de março funcionários do DOGE se reuniram com a liderança da NLRB e exigiram a criação de várias contas “tenant admin” com poderes totais, excluídas do registro de rede que deixaria detalhes de todas as atividades dessas contas
Pela navalha de Occam, a situação parece bastante clara, mas fico me perguntando se poderia haver algum motivo legítimo para esse pedido
Sem registros de auditoria, eles também não conseguem apresentar provas de que não manipularam as descobertas. Da próxima vez que alegarem que uma pessoa de 170 anos está recebendo cheque da Previdência Social, não haverá como provar que eles não subtraíram 100 anos da data de nascimento em alguma tabela
Parece bem claro que funcionários do DOGE acessaram dados aos quais não deveriam ter acesso
Segundo a matéria, o DOGE teve acesso a contas com permissões muito amplas de consulta e alteração, e alguém ligado ao DOGE pode ter baixado 10 GB de dados. O modo como isso foi usado pode ter sido ilegal, e talvez o próprio acesso já fosse ilegal desde o início. Também não está claro se o presidente poderia conceder esse tipo de acesso; pessoalmente, acho que não poderia
Além disso, um funcionário do DOGE baixou um código que permitia contornar restrições usando o enorme pool de IPs da AWS, esse código era muito mal escrito, e a pessoa também fez comentários racistas
Dito isso, não entendo bem que vantagem a raspagem automática de páginas web com endereços IP “ilimitados” da AWS teria para copiar dados extremamente sensíveis do banco de dados interno da NLRB. Se um sistema com dados ultrassensíveis é acessível por IPs externos e permite que uma única conta faça login em 10 mil sessões simultâneas para raspar o banco de dados interno, então o sistema está muito quebrado. Ou talvez isso queira dizer que o código foi alterado para usar 100 ou 10 mil IPs internos da NLRB? Também fico em dúvida. A automação mencionada depois faz mais sentido como ferramenta de apoio ao trabalho
Parece que o CEO da Tesla e da SpaceX, alguém que se diz ter QI alto e é conhecido como programador, na prática contratou um script kiddie para uma espécie de Delta Force de elite voltada a reduzir a tecnologia do governo
Mesmo assim, depois fiquei surpreso ao ouvir avaliações de que, nos primórdios da SpaceX, Musk era um líder competente e engenhoso. Talvez fosse resultado de culto à personalidade, mas também soava plausível. Na época, parece que ele não fingia ser o principal engenheiro e entendia seu lugar como gestor de engenharia. Talvez fosse parecido com bons gerentes que, mesmo não sabendo programar, entendem bem software e sabem distinguir quando devem codar diretamente e quando devem empurrar pelo design
No fim das contas, fama é como uma droga poderosa. Não acho que Musk tenha sido especialmente de “QI alto” e, olhando para seu primeiro casamento, parece que ele sempre foi um loser misógino, mas ser idolatrado como o “Tony Stark da vida real” parece ter estragado seu cérebro. Cetamina também não deve ajudar
Essas pessoas procuram os “melhores dos melhores” da própria imaginação para manter por perto, e torna-se muito importante para o ego delas que essa crença não seja desafiada. Elas ficam cegas a evidências contrárias, e as pessoas que “descobriram” precisam ser extraordinárias para justificar sua capacidade de selecionar talentos
Parece que é isso que está acontecendo aqui também. As pessoas ao redor de Elon não parecem particularmente excepcionais e sua competência é muito duvidosa, mas, para sustentar o próprio mito, ele precisa de um harém de “Super Coders”
A mensagem é que alguns jovens comuns de ciência da computação, que nem idade suficiente teriam para alugar um carro, conseguem economizar bilhões de dólares apenas revisando as informações financeiras mais básicas dos órgãos do governo. Ou seja, eles deveriam ser “estagiários”, não uma “Delta Force”
Não estou tentando defender os meios em nome dos fins, mas gostaria que os impostos fossem usados com mais eficiência. Ao mesmo tempo, o nível de acesso concedido a eles me preocupa extremamente, e praticamente não há responsabilização
Mesmo ignorando quem é Marko, é estranho uma pessoa aleatória ter publicado um ataque público desse tipo no repositório. Nunca vi um repositório por acaso e senti vontade de atacar, e a crítica também tem cheiro de coisa gerada por IA
Link citado: https://github.com/markoelez/async-ip-rotator/issues/1
Os comentários seguintes também formam uma interação bastante estranha, interessante demais para parecer coincidência
Por causa disso, é bem provável que alguém tenha ficado curioso para saber qual era seu nível real de programação e tenha examinado os repositórios que ele criou. Depois, Musk fez uma “votação” no X sobre recontratar Elez para o DOGE; em 20 de fevereiro, Elez já tinha novamente um endereço de e-mail do governo dos EUA, e em 21 de fevereiro foi noticiado que ele trabalhava para o DOGE na Administração da Seguridade Social
O próprio fato de terem deixado esses pacotes públicos no GitHub é estranho. Não sabem que dá para torná-los privados? Sinceramente, isso mostra o quanto essa gente é burra
Basta olhar a lista de indultos concedidos por esta administração. Eles nem sequer serão processados
Alguém deveria ir para a prisão por isso. Não é um simples mal-entendido, é um ataque deliberado contra todos os cidadãos dos EUA
O deep state com o qual elas se preocupavam é exatamente isto, e a bota que vai pisoteá-las também é isto
Edit: o comentário pai era o mais bem ranqueado neste artigo e agora está lá embaixo?
Se o instrumento para impedir que o próximo Congresso e a próxima administração resolvam isso não for o indulto, a alternativa é sombria demais para considerar
Ter acesso total a bancos de dados do governo de uma forma impossível de rastrear tem efeitos em cadeia difíceis até de imaginar
Só espero que haja evidências suficientes para que as pessoas levem isso a sério. Quantos casos ainda poderiam vir à tona fica a critério do leitor imaginar
Não sei exatamente o que estão alegando. Que o pessoal do DOGE escreveu/usou código “hacker” do GitHub para contornar as restrições de segurança dos dados do NLRB? Se eles já tinham uma conta de superusuário no sistema, por que precisariam fazer isso?
Recomendo ler o documento da denúncia: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...