Código de engenheiro do DOGE dá respaldo à denúncia de denunciante interno do NLRB

 (krebsonsecurity.com)
2 pontos por GN⁺ 2025-04-24 | 1 comentários | Compartilhar no WhatsApp
  • Um denunciante interno do NLRB afirma que o departamento DOGE, ligado a Elon Musk, baixou sem autorização mais de 10 GB de dados sensíveis sobre disputas trabalhistas
  • Contas do DOGE teriam evitado o monitoramento de logs com privilégios de administrador e baixado três códigos externos do GitHub, incluindo um com técnica de rotação de IP usada para web scraping e ataques de força bruta
  • O funcionário-chave Marko Elez publicou a versão mais recente dessa tecnologia no GitHub e já foi alvo de controvérsias por violações de regras de segurança da informação e declarações polêmicas
  • Outros códigos baixados incluíam a ferramenta de engenharia reversa de APIs Integuru e o navegador automatizado Browserless
  • A qualidade do código de Elez foi duramente criticada no GitHub, e o repositório acabou sendo removido

Acesso a informações sensíveis por contas do DOGE

  • O denunciante interno Daniel J. Berulis afirma que funcionários do DOGE exigiram, em 3 de março, a criação de uma conta de administrador com autoridade máxima (tenant admin) no NLRB
  • Essas contas ficariam isentas de todo monitoramento de logs da rede e permitiriam ler/copiar/modificar dados, além de manipular logs
  • Berulis e seu supervisor não tinham esses privilégios, mas o DOGE os obteve

Download de código do GitHub e ferramenta de rotação de IP

  • Uma conta do DOGE baixou três repositórios externos do GitHub, e um deles era uma biblioteca que gera “pseudo-infinite IPs”
  • Essa biblioteca é usada para web scraping e tentativas de login por força bruta
  • O código deriva de requests-ip-rotator, criado pelo usuário do GitHub Ge0rg3, e Marko Elez criou a partir dele o async-ip-rotator em janeiro de 2025

Marko Elez e suas controvérsias

  • Marko Elez trabalhou em várias empresas de Musk, como X, SpaceX e xAI, e atualmente está vinculado ao Departamento do Trabalho, sendo destacado para vários órgãos do governo
  • No passado, quando atuava no Tesouro, envolveu-se em controvérsia por vazamento de informações sensíveis e foi demitido após polêmica por declarações racistas, sendo depois readmitido
  • A Politico informou que Elez cometeu anteriormente uma violação de política de segurança de nível máximo

Outros códigos baixados e controvérsia de segurança

  • Outros repositórios do GitHub baixados foram:
    • Integuru: framework para fazer engenharia reversa da API de sites
    • Browserless: ferramenta de automação web que usa pool de navegadores
  • Usuários do GitHub apontaram problemas graves de segurança e escalabilidade no async-ip-rotator
    • Foi avaliado que “se esse código estiver sendo usado em um sistema de nível de produção, ele deve passar imediatamente por uma auditoria de segurança”

Paralisação funcional do NLRB e contexto político

  • O presidente Trump demitiu três membros do NLRB, paralisando na prática o funcionamento do órgão
  • Atualmente, Amazon e SpaceX processam o NLRB alegando que ele viola a Constituição, mas em 5 de março um tribunal de apelação rejeitou essa tese
  • Berulis alertou que esse vazamento de dados pode dar a certas empresas uma vantagem indevida em disputas trabalhistas
    • “Passa a ser possível identificar organizadores sindicais e depois demiti-los”

Leituras relacionadas

1 comentários

 
GN⁺ 2025-04-24
Opiniões no Hacker News

  • O código de Ge0rg3 é "open source", e qualquer pessoa pode copiá-lo e reutilizá-lo para fins não comerciais

    • Uma nova versão derivada desse código, "async-ip-rotator", foi commitada no GitHub em janeiro de 2025 por Marko Elez, da DOGE
    • É quase idêntica ao código original, mas com os comentários removidos, um pouco de async adicionado e mudanças pequenas
    • Porém, a licença GPL3 original desapareceu
    • É difícil esperar que o pessoal da DOGE entenda ou respeite isso

  • Segundo a denúncia do denunciante Daniel J. Berulis, por volta de 11 de março de 2025, as métricas do NxGen indicaram uso anormal

    • Depois que a DOGE acessou os sistemas do NLRB, um usuário com endereço IP em Primorsky Krai, na Rússia, começou tentativas de login
    • Essas tentativas foram bloqueadas, mas geraram um alerta específico
    • As tentativas de login usaram uma das contas recém-criadas utilizadas em atividades relacionadas à DOGE, e o fluxo de autenticação foi bloqueado por causa da política de login fora do país
    • Essas tentativas de login ocorreram mais de 20 vezes, e o mais preocupante é que muitas delas aconteceram dentro de 15 minutos após a criação da conta por um engenheiro da DOGE

  • Um funcionário da DOGE acessou dados que não deveria acessar

    • É possível que a DOGE tenha acessado uma conta com privilégios enormes e baixado 10 GB de dados
    • É possível que esses dados tenham sido usados ilegalmente
    • Não está claro se o POTUS pode autorizar esse tipo de acesso

  • Um funcionário da DOGE baixou código que pode contornar restrições usando o pool de endereços IP da AWS

    • O código foi mal escrito
    • Pode ser racista

  • Há dúvidas sobre como um funcionário da DOGE poderia se beneficiar do uso de endereços IP "ilimitados" da AWS para fazer screen scraping automatizado de páginas web e copiar dados sensíveis do banco de dados interno do NLRB

    • Há dúvidas se 10.000 sessões se autenticaram simultaneamente no banco de dados e fizeram scraping dos dados
    • Se existe um sistema em que dados extremamente sensíveis podem ser acessados por IPs externos e uma única conta pode fazer login 10.000 vezes para raspar dados, há um problema

  • Críticas ao código de Marko Elez foram publicadas na página de "issues" do GitHub

    • O código foi avaliado como "inseguro, não escalável e uma falha fundamental de engenharia"
    • Essa crítica parece ter sido gerada por IA

  • Há alegações de que o CEO da Tesla e da Space-X contratou um script kiddie

  • Alguém afirma que alguém deveria ir para a prisão por isso

    • Isso não é um simples mal-entendido, mas um ataque intencional contra todos os cidadãos americanos

  • Críticas ao pacote publicado publicamente no GitHub

    • Parece que não sabem que ele poderia ser tornado privado

  • Há preocupação com acesso completo e impossível de rastrear a bancos de dados do governo

  • Berulis alega que tornou isso público porque seus superiores disseram para não reportar ao US-CERT

    • Se essa alegação for verdadeira, fica a dúvida sobre qual seria a motivação dos superiores para manter isso em segredo
    • O restante do governo federal também pode estar vulnerável ao mesmo agente de ameaça
    • Fica a dúvida se os superiores reportaram a crise de segurança por canais melhores ou se tentaram mantê-la totalmente em silêncio