Trang web doge.gov mà ai cũng có thể cập nhật
(404media.co)- doge.gov, trang theo dõi tình hình cắt giảm chính phủ liên bang của Elon Musk, được xác nhận là đang lấy dữ liệu từ một cơ sở dữ liệu mà người ngoài có thể chỉnh sửa
- Hai người phát hiện lỗ hổng chia sẻ với 404 Media rằng có thể thực hiện ghi từ bên thứ ba, và nội dung họ nhập thực sự được hiển thị trên website
- Một lập trình viên đã thêm ít nhất 2 mục cơ sở dữ liệu xuất hiện trên trang live, bao gồm các câu chế giễu trang .gov và chỉ ra cơ sở dữ liệu đang mở
- Trang này được triển khai vội vã sau khi Musk nói rằng ông sẽ đăng hoạt động của DOGE lên tài khoản @DOGE trên X và website DOGE; sau đó tính năng mirror bài đăng và thống kê nhân sự liên bang được thêm vào
- Hai chuyên gia phát triển web ẩn danh cho rằng doge.gov có vẻ được xây dựng trên Cloudflare Pages, không phải máy chủ chính phủ, và mã thực thi thực tế cũng được triển khai tại đó
Cơ sở dữ liệu doge.gov mà người ngoài có thể chỉnh sửa
- doge.gov là website được tạo để theo dõi hoạt động cắt giảm chính phủ liên bang của Elon Musk
- Hai người phát hiện lỗ hổng chia sẻ với 404 Media rằng trang này lấy dữ liệu từ một cơ sở dữ liệu mà bất kỳ ai cũng có thể chỉnh sửa
- Cấu trúc được xác nhận là nếu người ngoài ghi một mục vào cơ sở dữ liệu, mục đó sẽ được hiển thị trên website đang chạy live
Các mục chèn đã hiển thị trên website thật
- Một lập trình viên đã thêm ít nhất 2 mục vào cơ sở dữ liệu, và các mục này ở trạng thái có thể nhìn thấy trên website doge.gov thật
- “this is a joke of a .gov site”
- “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
- Hai mục này lần lượt được xử lý như các mục hiển thị trên trang workforce của doge.gov
Website DOGE được mở rộng vội vã
- doge.gov được triển khai gấp sau khi Elon Musk nói với các phóng viên rằng Department of Government Efficiency “đang cố gắng minh bạch nhất có thể”
- Musk nói rằng các hành động của DOGE sẽ được đăng lên handle DOGE trên X và website DOGE
- Khi đó, website DOGE về cơ bản là một trang trống
- Sau đó, vào thứ Tư và thứ Năm, trang được xây dựng thêm và bổ sung các tính năng sau
- Mirror bài đăng của tài khoản @DOGE trên X
- Nhiều thống kê liên quan đến nhân sự chính phủ liên bang Mỹ
Dấu hiệu triển khai dựa trên Cloudflare Pages
- Hai chuyên gia phát triển web yêu cầu ẩn danh cho rằng doge.gov có vẻ được xây dựng trên site Cloudflare Pages
- Họ yêu cầu ẩn danh vì đang xem xét các website liên bang
- Cả hai nói rằng hiện doge.gov dường như không được hosting trên máy chủ chính phủ
- Cơ sở dữ liệu mà trang này lấy dữ liệu cho phép bên thứ ba ghi vào, và nội dung do bên thứ ba ghi đã hiển thị trên website thật
- Hai nguồn xác nhận doge.gov lấy dữ liệu từ website Cloudflare Pages nơi mã thực thi thực tế được triển khai
1 bình luận
Các ý kiến trên Hacker News
https://archive.ph/wy1Wt
U.S. Digital Service (USDS) vốn đã có chuyên môn lâu năm trong việc xây dựng và triển khai website tĩnh cho chính phủ liên bang từ trước khi bị sáp nhập vào DOGE, và toàn bộ quy trình đều được thực hiện công khai
Chỉ trong vài phút là có thể clone toàn bộ usds.gov được làm bằng Jekyll (2.700 tài sản và tài liệu, 150MB) rồi triển khai lại ở local hoặc trên S3, và họ cũng đã ghi đầy đủ hướng dẫn triển khai: https://github.com/usds/website
Tôi dùng nhiều SOP mỗi ngày, và nguyên tắc là dù chỉ nhớ tên rồi quên hết phần còn lại, bạn vẫn phải có thể tìm lại tài liệu để học lại và cho ra kết quả gần như tương tự. Ngay cả trong tài liệu Liên Xô thập niên 1950 cũng có thể tìm thấy thứ giống SOP hiện đại, nhưng các tài liệu của Hải quân Mỹ như SOP gấp đồ hay SOP tắm trong quân đội thì đặc biệt thực dụng
Trong Dockerfile có
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.shTôi muốn nói về vụ hack. Có ai giải thích chi tiết hơn “họ để mở cơ sở dữ liệu” không? Tôi vào đây để đọc cho rõ chuyện đó nhưng vẫn chưa thấy
https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
Có thể là SQL injection, hoặc credentials bị lộ ở frontend
Về cơ bản, site được host trên Cloudflare, và dường như người ta có thể chèn tweet giả vào nội dung được ghi trên site, chứ không phải vào feed Twitter thật của DOGE. Có vẻ không có dữ liệu thật nào bị rò rỉ
Trớ trêu là bản ghi WHOIS lại trỏ tới CISA, tức Cybersecurity and Infrastructure Security Agency. Tạo được khá nhiều niềm tin đấy
Site về các khoản tiết kiệm nói rằng họ sẽ cho xem biên lai trước Ngày Valentine
https://www.doge.gov/savings
Giờ thì ghi là “Dự kiến công bố biên lai vào cuối tuần!”. Lần tới chắc sẽ là “site đã sẵn sàng cho biên lai”
Nhiều khoản cắt giảm ban đầu trông có vẻ “hợp lý”, nhưng sẽ khác khi bạn nhận ra “cắt thuê bao tạp chí” thực ra là “cắt nguồn tin tức tài chính của Consumer Financial Protection Bureau” hoặc “không gia hạn các gói tin tức đáng tin cậy cho những người thật sự cần hiểu thời sự”
Cũng có nhiều khoản cắt DEI/đào tạo đa dạng, và điều này có vẻ nhắm vào các nhóm mà khóa đào tạo đó giúp nhân viên phục vụ tốt hơn, hơn là một cuộc chiến chống lại “việc thực sự đối xử tử tế với mọi người”. Thử nói đến việc cắt DEI ở SNAP: theo dữ liệu được cho là của USDA, có 5 nhóm sắc tộc và mục “không rõ chủng tộc” đang đăng ký SNAP. Hãy hình dung cần đào tạo thế nào để hiểu, tương tác và hỗ trợ những người có nhiều nền tảng sắc tộc khác nhau cần sự trợ giúp này
Đồng cảm và thấu hiểu là những kỹ năng rất tốt trong các vai trò như vậy, và tôi cho rằng DEI cung cấp dạng đào tạo đó cho tất cả những người liên quan. Quan niệm phổ biến của cánh hữu là DEI mang tính phân biệt chủng tộc và chống người da trắng, nhưng họ bỏ qua ý tưởng rằng người không phải da trắng cũng có thể cần khóa đào tạo này. DEI là để hiểu khác biệt, nhưng cánh hữu đọc nó thành “hiểu người không da trắng” và dường như khó chịu với chính việc phải nghĩ đến các nền văn hóa khác
Một khoản cắt khác là ngân sách đào tạo về giới, và khóa đào tạo đó dành cho một văn phòng liên quan đến công nghệ/kỹ thuật. Lĩnh vực đó từ lâu khét tiếng là do nam giới thống trị, nên việc đào tạo như vậy có ích là điều dễ hiểu. Vì đã nghe cách người ta nói và hành xử với phụ nữ và người queer trong ngành công nghệ, tôi nghĩ đào tạo là cần thiết
Những chương trình như vậy không nhằm nhồi vào đầu mọi người phải nghĩ gì. Nếu một người không thể tương tác với thế giới một cách đồng cảm thì đào tạo tại nơi làm việc sẽ không thay đổi được điều đó. Nhưng nó có thể cho họ biết trong môi trường chuyên nghiệp thì nên tương tác và làm việc hiệu quả như thế nào. Ở doanh nghiệp là để kiếm nhiều tiền hơn, còn trong chính phủ là để giúp được nhiều người hơn. Bao gồm cả nhân viên lẫn cộng đồng nhận dịch vụ
Rốt cuộc Trump đang làm đúng như những gì ông ta đã nói, và các chi tiết thì thật u ám
Di chuyển nhanh và phá vỡ mọi thứ, phiên bản chính phủ
DOGE có vẻ còn hợp với câu “Vox Populi, Vox Dei” hơn cả Twitter
Có những người bạn như thế này thì còn cần kẻ thù làm gì?
Có lẽ nên sa thải đám đó và thay bằng kỹ sư thật sự
Vì chắc một vài người trong số họ đọc Hacker News, xin góp ý: bỏ ChatGPT sang một bên và học cho đàng hoàng xem mình đang làm gì
Thậm chí họ còn có thể có sự tự tin và đạo đức, mà điều đó có lẽ sẽ là lý do bị loại thẳng
Không thấy chuyện thực sự đang diễn ra ở đây sao? Một “cơ quan chính phủ” lấy tên từ meme coin, rồi ngồi trong Phòng Bầu dục, đội mũ và ngắt lời vị tổng thống đang thật sự ngồi đó
Elon đang phát tín hiệu rằng ông ta không tôn trọng các thể chế của đất nước chúng ta. Vì sao Trump lại làm một chuyện nhỏ nhặt như chỉ đổi tên Mexico? Đó là phép thử xem ai sẽ tuân theo màn phô trương quyền lực lố bịch nhất. Hôm nay điều đó đã được đem ra thực thi khi AP bị cấm vào Phòng Bầu dục và AF1 vì không chịu khuất phục trong vấn đề này. Chuyện này u ám hơn nhiều so với việc Elon chỉ đơn giản là nổi loạn
Có thể chỉ là tòa tháp thứ nhất vẫn chưa sập, và ta có thể nghĩ quả cầu lửa đã biến mất, lính cứu hỏa đang đi lên cầu thang nên sắp được giải cứu. Nhưng bên dưới bề mặt, lửa đang nóng trắng và thép mỗi phút lại nóng hơn, mềm hơn
Không cần tìm đâu xa để thấy những thay đổi rất nhỏ do các chính quyền trước tạo ra đã dẫn đến những hậu quả khổng lồ ngoài dự đoán. Chúng ta đang bị nấu chín hoàn toàn
Họ sẽ thực thi chính sách bảo hộ, thúc đẩy cắt giảm chi tiêu trước cải cách thuế, cho thấy “chúng ta đã tiết kiệm được thế này”, rồi thanh lý danh mục đầu tư trị giá hàng trăm tỷ đô la trong khi kỳ vọng thị trường tăng, và rút về một hòn đảo
Ít nhất đó là giả thuyết. Có vẻ Mỹ không muốn thừa nhận rằng CCP đang nắm trong tay năng lực công nghiệp của Mỹ, và bằng kế hoạch hóa tập trung có thể tùy ý đẩy bật thị trường xe điện Mỹ hoặc tổng tải trọng hải quân. Có giả định rằng nới lỏng quy định cuối cùng sẽ là thuốc chữa bách bệnh cho các vấn đề của Mỹ, nhưng không thể theo đuổi điều đó một cách nhất quán với chính sách thương mại toàn cầu. Không thể vừa trừng phạt ICC vừa yêu cầu các nước khác dẫn độ tội phạm sang Mỹ; cũng không thể rời bỏ Human Rights Council rồi yêu cầu các nước khác tôn trọng thẩm quyền đạo đức của chúng ta
Bốn năm tới sẽ là thời gian để thế giới văn minh một lần nữa chứng minh rằng họ có thể không cần Mỹ. Trump sẽ nịnh bợ các nhà độc tài nước ngoài, còn phần còn lại sẽ chỉ giậm chân chờ một cuộc bầu cử sơ bộ khác. Sự đình trệ kiểu 2016 là kịch bản tốt nhất, và điều may mắn là các đối thủ chính của Mỹ hiện cũng đang khá chật vật. Nếu Trump ngồi vào vị trí ở thời Nixon hay Reagan, thì nước Mỹ đã game over rồi