Mã của kỹ sư DOGE củng cố cáo buộc của người tố giác NLRB
(krebsonsecurity.com)- Kiến trúc sư bảo mật NLRB Daniel J. Berulis cáo buộc rằng một tài khoản DOGE đã lấy hơn 10GB dữ liệu từ các hồ sơ vụ việc nhạy cảm vào đầu tháng 3, và một gói mã GitHub được tải xuống được xác nhận là rất giống với mã của nhân viên DOGE Marko Elez
- Berulis cho rằng các tài khoản được tạo cho DOGE có quyền tenant admin, được yêu cầu ngoại lệ khỏi ghi log mạng, và có mức quyền cho phép truy cập, sao chép, thay đổi dữ liệu cũng như hạn chế khả năng nhìn thấy log
- Phần mô tả của đoạn mã liên quan nói về việc dùng một pool IP lớn của AWS API Gateway để tạo “pseudo-infinite IPs” cho web scraping và brute-force; mã này liên quan đến requests-ip-rotator trên GitHub và async-ip-rotator mà Elez fork vào tháng 1/2025
- Kho lưu trữ GitHub được tải xuống cùng lúc cũng bao gồm Integuru, công cụ reverse engineering API website, và Browserless, trình duyệt headless để tự động hóa tác vụ web; tất cả đều nằm trong bối cảnh scraping và tự động hóa
- Hồ sơ vụ việc của NLRB chứa thông tin về nhân viên muốn thành lập công đoàn và tài liệu độc quyền của doanh nghiệp, nên Berulis lo ngại nếu dữ liệu này rơi vào tay doanh nghiệp, nó có thể mang lại lợi thế không công bằng cho phía bị đơn trong các tranh chấp lao động đang diễn ra
Cáo buộc của người tố giác NLRB
- Kiến trúc sư bảo mật NLRB Daniel J. Berulis cáo buộc rằng các nhân sự liên quan đến DOGE đã rút hàng gigabyte dữ liệu từ các hồ sơ vụ việc nhạy cảm của cơ quan này vào đầu tháng 3
- Theo đơn tố giác của Berulis, các nhân sự DOGE đã gặp ban lãnh đạo NLRB vào ngày 3/3 và yêu cầu tạo nhiều tài khoản tenant admin có quyền mạnh
- Các tài khoản này được yêu cầu loại trừ khỏi hệ thống ghi log mạng, vốn thường lưu lại bản ghi hoạt động chi tiết
- Các tài khoản DOGE mới được cho là có quyền không giới hạn để đọc, sao chép và thay đổi thông tin trong cơ sở dữ liệu của NLRB
- Berulis nói đây là mức quyền có thể hạn chế khả năng nhìn thấy log, trì hoãn việc lưu giữ log, chuyển log sang nơi khác hoặc xóa hoàn toàn log
- Berulis cho rằng các tài khoản DOGE đã được cấp quyền người dùng cấp cao nhất mà ngay cả ông hoặc cấp trên của ông cũng không có
Tải mã GitHub và công cụ xoay vòng IP
- Berulis cho biết ông phát hiện một trong các tài khoản DOGE đã tải xuống 3 thư viện mã GitHub bên ngoài mà NLRB hoặc các nhà thầu chưa từng sử dụng
- README của một trong các gói mã đó mô tả việc dùng pool IP lớn của AWS API Gateway như proxy để tạo “pseudo-infinite IPs” cho web scraping và brute-force
- Khi tìm kiếm cùng câu mô tả, kết quả dẫn đến kho requests-ip-rotator của người dùng GitHub Ge0rg3; thư viện này được giới thiệu là giúp vượt qua giới hạn yêu cầu dựa trên IP
- Mô tả đó nói đây là “thư viện Python tận dụng large IP pool của AWS API Gateway làm proxy để tạo pseudo-infinite IPs cho web scraping và bruteforcing”
- Mã của Ge0rg3 được giới thiệu là mã nguồn mở mà bất kỳ ai cũng có thể sao chép và tái sử dụng cho mục đích phi thương mại
Mối liên hệ với async-ip-rotator của Marko Elez
- Có một dự án mới tên async-ip-rotator được phái sinh từ requests-ip-rotator của Ge0rg3, và nhân viên DOGE Marko Elez đã commit lên GitHub vào tháng 1/2025
- Câu mô tả README trong tệp GitHub mà người tố giác nói người dùng DOGE đã tải xuống có cùng mô tả với mã dựa trên fork của Elez
- Elez được giới thiệu là một trong những nhân sự DOGE chủ chốt đã truy cập hệ thống thanh toán trung tâm của Treasury Department
- Ông từng làm việc tại nhiều công ty của Musk như X, SpaceX, xAI
- The Wall Street Journal liên hệ Elez với các bài đăng mạng xã hội ủng hộ chủ nghĩa phân biệt chủng tộc và thuyết ưu sinh
- Elez đã từ chức sau tranh cãi, nhưng được tuyển lại sau khi nhận được sự ủng hộ của Tổng thống Donald Trump và Phó tổng thống JD Vance
- Theo Politico, Elez hiện là trợ lý tại Labor Department và được cử sang nhiều cơ quan, bao gồm cả Department of Health and Human Services
- Politico dẫn tài liệu nộp lên tòa cho biết trong thời gian đầu làm việc tại Treasury, Elez đã vi phạm chính sách an ninh thông tin khi gửi một bảng tính chứa tên và thông tin thanh toán cho các quan chức General Services Administration
Các công cụ khác được tải xuống cùng lúc
- Berulis chỉ ra Integuru và Browserless là hai kho lưu trữ GitHub khác mà nhân viên DOGE đã tải xuống hệ thống NLRB
- Integuru là một framework phần mềm được thiết kế để reverse engineering các giao diện lập trình ứng dụng (API) mà website dùng để lấy dữ liệu
- Browserless là trình duyệt headless dùng để tự động hóa các tác vụ dựa trên web
- Web scraping
- Kiểm thử tự động
- Các tác vụ cần nhiều pool trình duyệt
Chỉ trích chất lượng mã và xóa kho lưu trữ
- Ngày 6/2, ai đó đã đăng một bài phê bình dài trên trang issues GitHub của async-ip-rotator của Elez, gọi đoạn mã này là “insecure, unscalable and a fundamental engineering failure”
- Bài phê bình nói rằng nếu đây chỉ là một side project đơn giản thì nó chỉ là mã tệ, nhưng nếu một triển khai tương tự đã được triển khai trong môi trường xử lý dữ liệu nhạy cảm thì cần được kiểm toán ngay lập tức
- Sau khi bài viết được đăng, kho mã của Elez đã bị xóa
- Phiên bản lưu trữ của kho đã xóa vẫn còn tại đây
Tính nhạy cảm của dữ liệu NLRB và tác động đến tranh chấp lao động
- Đơn tố giác của Berulis cáo buộc rằng tài khoản DOGE đã tải xuống hơn 10GB từ cơ sở dữ liệu hồ sơ vụ việc của NLRB
- Cơ sở dữ liệu này chứa nhiều hồ sơ nhạy cảm, bao gồm thông tin liên quan đến nhân viên muốn thành lập công đoàn và tài liệu kinh doanh độc quyền của doanh nghiệp
- Berulis nói ông đã công khai lên tiếng vì cấp trên yêu cầu không báo cáo vụ việc này cho US-CERT, trái với thỏa thuận trước đó
- Berulis lo ngại rằng nếu việc truyền dữ liệu trái phép là sự thật, nó có thể mang lại lợi thế không công bằng cho phía bị đơn trong nhiều tranh chấp lao động đang chờ xử lý tại NLRB
- Ông nói bất kỳ công ty nào có được dữ liệu vụ việc đều sẽ có lợi thế không công bằng
- Ông nói doanh nghiệp có thể xác định nhân viên và nhà tổ chức công đoàn rồi sa thải họ mà không nêu lý do
Bối cảnh pháp lý quanh NLRB
- Sau khi Tổng thống Trump sa thải 3 thành viên hội đồng, NLRB mất quorum cần thiết để hoạt động và về thực chất đang bị hạn chế
- Amazon và SpaceX của Musk đang kiện NLRB liên quan đến các complaint mà NLRB đưa ra trong các tranh chấp về quyền của người lao động và tổ chức công đoàn
- Hai công ty này lập luận theo hướng cho rằng sự tồn tại của NLRB là vi hiến
- Ngày 5/3, một tòa phúc thẩm Mỹ đã nhất trí bác lập luận từ phía Musk rằng cấu trúc của NLRB vi phạm Hiến pháp
- KrebsOnSecurity cho biết họ đã đề nghị cả NLRB và DOGE bình luận, và sẽ cập nhật nếu nhận được phản hồi
1 bình luận
Ý kiến trên Hacker News
Mã của Ge0rg3 là mã nguồn mở theo nghĩa bất kỳ ai cũng có thể sao chép và tái sử dụng cho mục đích phi thương mại, và “async-ip-rotator” mà Marko Elez của DOGE đưa lên GitHub vào tháng 1/2025 có vẻ là một fork phái sinh từ mã này
Mã gốc: https://github.com/Ge0rg3/requests-ip-rotator
Fork: https://github.com/markoelez/async-ip-rotator
Mã gần như giống hệt, chỉ xóa chú thích rồi rải thêm chút
asyncvà thay đổi lặt vặt, nên trông như đã dán vào LLM và yêu cầu chuyển sang bất đồng bộ. Nhưng giấy phép GPL3 ban đầu đã biến mất, và có vẻ đó không phải là điều những người DOGE có thể hiểu hay tôn trọngTrang kho lưu trữ đã lưu: https://archive.ph/LI7tt; bản lưu số lượng kho lưu trữ trước đó: https://archive.ph/tgkg5
0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
Nội dung đại ý là: “Nếu đây chỉ là dự án phụ thì nó chỉ dừng ở mức mã tệ, nhưng nếu đây là cách xây dựng hệ thống production thì đáng lo hơn nhiều. Cách triển khai này về cơ bản đã hỏng, và nếu thứ tương tự được triển khai trong môi trường xử lý dữ liệu nhạy cảm thì cần được kiểm toán ngay lập tức”
Xóa giấy phép khỏi bản sao cá nhân là hoàn toàn có thể theo điều khoản giấy phép, và đưa nó lên kho GitHub riêng tư cũng không vấn đề gì. Nhưng nếu vì các lý do như giới hạn kho riêng tư miễn phí mà đưa lên kho công khai dù không có ý định phân phối thì việc đó được tính thế nào lại khá nhập nhằng
Phần này trong nội dung tố giác trông nghiêm trọng hơn nhiều
Khoảng ngày 11/3/2025, các chỉ số NxGen cho thấy mức sử dụng bất thường tại một thời điểm cụ thể trong tuần trước đó, với thời gian phản hồi cao hơn nhiều so với baseline và mức tăng lưu lượng mạng đầu ra cao hơn bất kỳ thời điểm nào trước đây. Điều này gần như trùng khớp với một sự kiện rò rỉ dữ liệu, và số lần đăng nhập từ nước ngoài bị chặn bởi chính sách truy cập cũng tăng lên
Ví dụ, trong vòng vài ngày sau khi DOGE truy cập hệ thống NLRB, một người dùng có địa chỉ IP ở Primorskiy Krai của Nga bắt đầu thử đăng nhập; các lần thử bị chặn nhưng được cho là đặc biệt đáng lo ngại. Những lần đăng nhập đó dùng một trong các tài khoản mới được sử dụng trong hoạt động liên quan đến DOGE, và do luồng xác thực chỉ dừng lại ở chính sách chặn đăng nhập từ nước ngoài, có vẻ họ đã có đúng tên người dùng và mật khẩu. Có hơn 20 lần thử như vậy, và điều đặc biệt đáng lo là nhiều lần xảy ra trong vòng 15 phút sau khi các kỹ sư DOGE tạo tài khoản
Cách diễn giải tệ nhất thì đơn giản hơn: họ làm việc như đặc vụ của Nga và để Nga vào, hoặc cài keylogger cho Nga
Đây là bằng chứng mạnh mẽ cho thấy nhân sự DOGE đang scraping bằng nhiều địa chỉ IP cloud
Theo nội dung tố giác, các bên liên quan đến DOGE đã gặp lãnh đạo NLRB vào ngày 3/3 và yêu cầu tạo nhiều tài khoản “tenant admin” toàn quyền, được miễn khỏi cơ chế ghi log mạng vốn ghi chi tiết mọi hoạt động của tài khoản đó
Theo nguyên lý dao cạo Occam thì tình huống có vẻ khá rõ, nhưng tôi tự hỏi liệu có lý do chính đáng nào cho yêu cầu như vậy không
Vì không có nhật ký kiểm toán nên họ cũng không thể đưa ra bằng chứng rằng các phát hiện không bị bịa đặt. Lần tới nếu họ tuyên bố có người 170 tuổi đang nhận séc An sinh Xã hội, thì cũng không có cách nào chứng minh rằng họ đã không trừ 100 năm khỏi ngày sinh trong bảng nào đó
Có vẻ khá rõ rằng nhân viên DOGE đã truy cập vào dữ liệu mà họ không được phép truy cập
Theo bài viết, DOGE đã truy cập vào các tài khoản có quyền xem và chỉnh sửa rất rộng, và có thể ai đó thuộc DOGE đã tải xuống 10GB dữ liệu. Cách sử dụng đó có thể là bất hợp pháp, hoặc ngay từ đầu việc truy cập đã có thể là bất hợp pháp. Cũng không rõ tổng thống có thể cấp quyền truy cập như vậy hay không; cá nhân tôi nghĩ là không thể
Ngoài ra, một nhân viên DOGE đã tải xuống mã có thể dùng một pool IP khổng lồ của AWS để né các giới hạn; đoạn mã đó được viết rất tệ, và người đó cũng từng có phát ngôn phân biệt chủng tộc
Tuy nhiên, tôi không rõ cách tự động screen-scraping trang web bằng số địa chỉ IP “không giới hạn” của AWS đem lại lợi ích gì trong việc sao chép dữ liệu cực kỳ nhạy cảm từ cơ sở dữ liệu nội bộ của NLRB. Nếu một hệ thống dữ liệu siêu nhạy cảm có thể truy cập từ IP bên ngoài và cho phép một tài khoản duy nhất đăng nhập đồng thời 10.000 phiên để cào dữ liệu DB nội bộ, thì hệ thống đó hỏng nặng. Hoặc không rõ có phải họ đã sửa đoạn mã này để dùng 100 hay 10.000 IP nội bộ của NLRB hay không. Phần tự động hóa được nhắc đến phía sau nghe hợp lý hơn như một công cụ hỗ trợ công việc
Có vẻ CEO của Tesla và SpaceX, người tự nhận IQ cao và được biết đến như một lập trình viên, về cơ bản đã tuyển script kiddie vào lực lượng Delta Force tinh hoa nhằm cắt giảm công nghệ chính phủ
Tuy nhiên, về sau tôi khá bất ngờ khi nghe đánh giá rằng trong giai đoạn đầu của SpaceX, Musk là một lãnh đạo có năng lực và tháo vát. Có thể đó là kết quả của sùng bái cá nhân, nhưng nghe cũng có vẻ hợp lý. Khi đó có vẻ ông ta không diễn như thể mình là kỹ sư giỏi nhất, mà biết vị trí của một quản lý kỹ thuật. Có thể ông ta giống một quản lý giỏi: không biết viết code nhưng hiểu phần mềm tốt, và phân biệt được khi nào nên tự code, khi nào nên thúc đẩy bằng thiết kế
Rốt cuộc, danh tiếng giống như một thứ thuốc mạnh. Tôi không nghĩ Musk đặc biệt “IQ cao”, và nhìn vào cuộc hôn nhân đầu tiên thì có vẻ ông ta luôn là một kẻ thất bại kỳ thị phụ nữ, nhưng việc được tôn sùng là “Tony Stark ngoài đời thật” dường như đã làm hỏng não ông ta. Ketamine chắc cũng chẳng giúp ích gì
Những người như vậy tìm “tinh hoa của tinh hoa” trong tưởng tượng của mình để vây quanh bản thân, và việc niềm tin đó không bị thách thức trở nên rất quan trọng với cái tôi của họ. Họ mù quáng trước bằng chứng ngược lại, và những người họ “phát hiện” phải phi thường thì năng lực chọn người của họ mới được biện minh
Ở đây có vẻ cũng đang xảy ra chuyện như vậy. Những người quanh Elon trông không có gì đặc biệt và năng lực cũng rất đáng ngờ, nhưng để chống đỡ huyền thoại về bản thân, ông ta cần một hậu cung “Super Coders”
Thông điệp là chỉ cần vài thanh niên ngành khoa học máy tính bình thường, đến mức còn không thuê được xe, xem xét những thông tin tài chính cơ bản nhất của các bộ ngành chính phủ là đã có thể tiết kiệm hàng chục tỷ USD. Ý là họ không nên là “Delta Force”, mà nên là thực tập sinh
Tôi không định biện hộ cho phương tiện vì mục đích, nhưng tôi muốn tiền thuế được sử dụng hiệu quả hơn. Đồng thời, mức quyền truy cập được trao cho họ cực kỳ đáng lo ngại, và trên thực tế gần như không có trách nhiệm giải trình
Ngay cả nếu bỏ qua Marko là ai, việc một người ngẫu nhiên đăng một màn công kích công khai kiểu đó lên repository cũng rất lạ. Tôi chưa từng tình cờ đi ngang qua một repository rồi muốn tấn công nó, và lời phê bình đó cũng có mùi do AI tạo ra
Link trích dẫn: https://github.com/markoelez/async-ip-rotator/issues/1
Các bình luận sau đó cũng là một tương tác khá kỳ lạ, thú vị đến mức khó xem là ngẫu nhiên
Vì chuyện đó, rất có khả năng ai đó đã tò mò xem kỹ năng code thực tế của anh ta đến đâu và xem qua repository do anh ta tạo. Sau đó Musk tổ chức “bỏ phiếu” trên X về việc có tuyển lại Elez vào DOGE hay không; đến ngày 20/2, Elez lại có địa chỉ email của chính phủ Mỹ, và ngày 21/2 có tin anh ta làm việc cho DOGE tại Cơ quan An sinh Xã hội
Bản thân việc để các package này công khai trên GitHub đã thấy lạ. Không biết là họ không biết có thể đặt ở chế độ riêng tư hay sao; nói thật, nó cho thấy những người này ngu ngốc đến mức nào
Cứ nhìn danh sách ân xá mà chính quyền này đã ban hành là thấy. Những người này thậm chí sẽ không bị truy tố
Vì chuyện này, phải có ai đó vào tù. Đây không phải là một hiểu lầm đơn thuần mà là một cuộc tấn công có chủ đích nhắm vào mọi công dân Mỹ
Deep state mà họ từng lo sợ chính là thứ này, và đôi ủng sẽ giẫm nát họ cũng chính là thứ này
Sửa: bình luận cha từng đứng hạng cao nhất trong bài này, mà giờ lại ở tận cuối?
Nếu công cụ để ngăn Quốc hội và chính quyền kế tiếp xử lý chuyện này không phải là ân xá, thì phương án thay thế quá u ám để nghĩ tới
Việc có toàn quyền truy cập vào cơ sở dữ liệu chính phủ theo cách không thể truy vết khiến rất khó tưởng tượng được hệ quả lan rộng của nó
Chỉ mong là có đủ căn cứ để mọi người nghiêm túc xem xét. Còn bao nhiêu trường hợp có khả năng được công khai thì xin để độc giả tự suy đoán
Không rõ chính xác họ đang cáo buộc điều gì. Ý là người của DOGE đã viết/dùng mã “hacker” trên GitHub để vượt qua các hạn chế bảo mật của dữ liệu NLRB sao? Nếu họ đã có tài khoản superuser trong hệ thống rồi thì tôi thắc mắc vì sao cần làm vậy
Khuyên nên đọc tài liệu tố cáo: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...