- Người tố giác nội bộ NLRB cáo buộc bộ phận DOGE trực thuộc Elon Musk đã tải xuống trái phép hơn 10GB dữ liệu nhạy cảm về tranh chấp lao động
- Tài khoản DOGE đã né tránh việc giám sát nhật ký bằng quyền quản trị viên và tải xuống ba đoạn mã từ GitHub bên ngoài, trong đó có một mã chứa kỹ thuật xoay vòng IP dùng cho web scraping và tấn công vét cạn
- Nhân sự chủ chốt Marko Elez đã tải phiên bản mới nhất của kỹ thuật này lên GitHub, và là nhân vật từng gây tranh cãi vì vi phạm quy tắc an toàn thông tin trong quá khứ cũng như các phát ngôn gây tranh cãi
- Các đoạn mã khác được tải xuống bao gồm công cụ đảo ngược API Integuru và trình duyệt tự động hóa Browserless
- Chất lượng mã của Elez bị chỉ trích nặng nề trên GitHub, sau đó kho lưu trữ liên quan đã bị xóa
Truy cập thông tin nhạy cảm của tài khoản DOGE
- Người tố giác nội bộ Daniel J. Berulis cho biết nhân viên DOGE đã yêu cầu tạo tài khoản quản trị viên cấp cao nhất (tenant admin) tại NLRB vào ngày 3/3
- Các tài khoản này bị loại khỏi toàn bộ cơ chế giám sát nhật ký mạng, đồng thời có thể đọc/sao chép/sửa đổi dữ liệu và thao túng nhật ký
- Berulis và cấp trên của ông không có những quyền này, nhưng DOGE lại giành được chúng
Tải mã từ GitHub và công cụ xoay vòng IP
- Tài khoản DOGE đã tải xuống ba kho lưu trữ GitHub bên ngoài, trong đó một kho là thư viện tạo ra “pseudo-infinite IPs”
- Thư viện này được dùng cho web scraping và các nỗ lực đăng nhập vét cạn
- Đoạn mã này bắt nguồn từ
requests-ip-rotator do người dùng GitHub Ge0rg3 tạo ra, và Marko Elez đã dựa trên đó để tạo async-ip-rotator vào tháng 1/2025
Marko Elez và các tranh cãi quanh ông
- Marko Elez từng làm việc tại nhiều công ty của Musk như X, SpaceX, xAI, hiện thuộc Bộ Lao động và được điều sang nhiều cơ quan chính phủ
- Trước đây, trong thời gian làm việc tại Bộ Tài chính, ông từng gây tranh cãi vì làm rò rỉ thông tin nhạy cảm, và sau khi bị sa thải vì tranh cãi liên quan đến phát ngôn phân biệt chủng tộc thì đã được phục chức
- Politico đưa tin Elez từng vi phạm chính sách an ninh cấp cao trong quá khứ
Mã được tải thêm và tranh cãi bảo mật
- Các kho GitHub được tải thêm gồm:
- Integuru: framework dùng để đảo ngược API của website
- Browserless: công cụ tự động hóa web sử dụng pool trình duyệt
- Người dùng GitHub đã nêu ra các vấn đề nghiêm trọng về bảo mật và khả năng mở rộng của async-ip-rotator
- “Nếu đoạn mã này được dùng trong một hệ thống cấp production thì cần được kiểm toán bảo mật ngay lập tức”
NLRB bị tê liệt chức năng và bối cảnh chính trị
- Tổng thống Trump đã sa thải ba ủy viên của NLRB, khiến cơ quan này trên thực tế gần như tê liệt
- Hiện Amazon và SpaceX đang kiện với lập luận rằng NLRB vi hiến, nhưng vào ngày 5/3, tòa phúc thẩm đã bác bỏ điều này
- Berulis cảnh báo rằng vụ rò rỉ dữ liệu này có thể mang lại lợi thế không công bằng trong tranh chấp lao động cho một số doanh nghiệp
- “Việc nhận diện những người tổ chức công đoàn rồi sa thải họ sẽ trở nên khả thi”
1 bình luận
Ý kiến Hacker News
Mã của Ge0rg3 là "mã nguồn mở", bất kỳ ai cũng có thể sao chép và tái sử dụng cho mục đích phi thương mại
asyncvà có vài thay đổi nhỏTheo đơn khiếu nại của người tố giác Daniel J. Berulis, vào khoảng ngày 11 tháng 3 năm 2025, các chỉ số NxGen cho thấy mức sử dụng bất thường
Nhân viên DOGE đã truy cập dữ liệu mà họ không được phép truy cập
Nhân viên DOGE đã tải xuống mã có thể dùng dải địa chỉ IP của AWS để vượt qua các hạn chế
Có thắc mắc về việc nhân viên DOGE có thể hưởng lợi thế nào từ việc dùng địa chỉ IP "không giới hạn" của AWS để tự động screen-scrape các trang web và sao chép dữ liệu nhạy cảm từ cơ sở dữ liệu nội bộ của NLRB
Chỉ trích về mã của Marko Elez đã được đăng trên trang GitHub "issues"
Có cáo buộc rằng CEO của Tesla và Space-X đã thuê một script kiddie
Có người cho rằng ai đó phải vào tù vì việc này
Chỉ trích gói được công khai trên GitHub
Có lo ngại về quyền truy cập hoàn toàn và không thể truy vết vào các cơ sở dữ liệu của chính phủ
Berulis nói rằng ông công khai chuyện này vì cấp trên bảo ông không được báo cáo cho US-CERT