3 Punkte von GN⁺ 2025-02-15 | 1 Kommentare | Auf WhatsApp teilen
  • Es wurde festgestellt, dass doge.gov, das den Stand von Elon Musks Abbau der US-Bundesregierung verfolgt, Daten aus einer Datenbank bezieht, die von Außenstehenden bearbeitet werden kann
  • Zwei Personen, die die Schwachstelle entdeckten, teilten 404 Media mit, dass Schreibzugriffe durch Dritte möglich seien und eingegebene Inhalte tatsächlich auf der Website angezeigt würden
  • Ein Coder fügte der Datenbank mindestens zwei Einträge hinzu, die auf der Live-Site sichtbar waren; sie enthielten Formulierungen, die die .gov-Seite verspotteten und auf die offene Datenbank hinwiesen
  • Die Site wurde hastig veröffentlicht, nachdem Musk gesagt hatte, er werde DOGE-Aktivitäten über das @DOGE-Konto auf X und die DOGE-Website veröffentlichen; später kamen ein Post-Mirror und Statistiken zur Bundesbelegschaft hinzu
  • Zwei anonyme Webentwicklungs-Experten gehen davon aus, dass doge.gov nicht auf Regierungsservern, sondern auf Cloudflare Pages aufgebaut ist und dort auch der tatsächlich ausgeführte Code bereitgestellt wird

Eine von Außenstehenden bearbeitbare doge.gov-Datenbank

  • doge.gov ist eine Website, die geschaffen wurde, um Elon Musks Maßnahmen zum Abbau der US-Bundesregierung zu verfolgen
  • Zwei Personen, die die Schwachstelle entdeckten, teilten 404 Media mit, dass diese Site Daten aus einer Datenbank bezieht, die jeder bearbeiten kann
  • Es wurde festgestellt, dass Einträge, die Außenstehende in die Datenbank schreiben, auf der Live-Website angezeigt werden

Eingeschleuste Einträge, die auf der echten Site erschienen

  • Ein Coder fügte der Datenbank mindestens zwei Einträge hinzu, und diese waren tatsächlich auf der doge.gov-Website sichtbar
    • “this is a joke of a .gov site”
    • “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
  • Beide Einträge wurden als Elemente behandelt, die auf der Workforce-Seite von doge.gov angezeigt werden

Die hastig ausgebaute DOGE-Website

  • doge.gov wurde hastig veröffentlicht, nachdem Elon Musk Reportern gesagt hatte, das Department of Government Efficiency wolle „so transparent wie möglich“ sein
  • Musk sagte, er werde die Maßnahmen von DOGE über den DOGE-Handle auf X und die DOGE-Website veröffentlichen
  • Zu diesem Zeitpunkt war die DOGE-Website praktisch eine leere Seite
  • Danach wurde die Site am Mittwoch und Donnerstag weiter ausgebaut und um folgende Funktionen ergänzt
    • Spiegelung der Beiträge des @DOGE-X-Kontos
    • mehrere Statistiken zur Belegschaft der US-Bundesregierung

Hinweise auf eine Bereitstellung über Cloudflare Pages

  • Zwei Webentwicklungs-Experten, die anonym bleiben wollten, gehen davon aus, dass doge.gov auf einer Cloudflare-Pages-Site aufgebaut ist
  • Sie baten um Anonymität, da sie derzeit Bundes-Websites untersuchen
  • Nach ihrer Aussage wird doge.gov derzeit offenbar nicht auf Regierungsservern gehostet
  • In die Datenbank, aus der die Site ihre Daten bezieht, können Dritte schreiben, und von Dritten geschriebene Inhalte werden bereits auf der tatsächlichen Website angezeigt
  • Die beiden Quellen bestätigten, dass doge.gov Daten von der Cloudflare-Pages-Website bezieht, auf der auch der tatsächlich ausgeführte Code bereitgestellt wird

1 Kommentare

 
GN⁺ 2025-02-15
Hacker-News-Kommentare
  • https://archive.ph/wy1Wt

  • U.S. Digital Service (USDS) hatte schon lange vor der Eingliederung in DOGE Expertise darin, statische Websites für die Bundesregierung zu erstellen und bereitzustellen, und hat den gesamten Prozess öffentlich gemacht.
    In wenigen Minuten kann man die komplette mit Jekyll erstellte Website usds.gov (2.700 Assets und Dokumente, 150 MB) klonen und lokal oder auf S3 erneut bereitstellen; auch die Deploy-Anleitung ist vollständig dokumentiert: https://github.com/usds/website

    • Ich habe früher durch Hacker News von USDS erfahren und war immer beeindruckt. Wenn jemand in guter Absicht „DOGE“ hätte schaffen wollen – also nicht, um die Regierung zu zerstören, sondern um ihre Effizienz zu steigern –, hätte das wohl so ausgesehen, dass man Befugnisse und Reichweite einer Organisation wie USDS ausweitet.
    • Dass es für statische Inhalte eine Standard Operating Procedure (SOP) gibt, wirkt ziemlich gut.
      Ich nutze täglich mehrere SOPs; das Prinzip ist, dass man sich nur den Namen merken und den Rest vergessen können sollte, und wenn man das Dokument wiederfindet und sich neu einarbeitet, sollte man nahezu dasselbe Ergebnis erzielen. Selbst in sowjetischen Dokumenten aus den 1950er-Jahren findet man Dinge, die modernen SOPs ähneln, aber US-Navy-Dokumente wie eine SOP zum Zusammenlegen oder eine SOP zum Duschen in der Armee sind besonders praktisch.
    • Wird beim Deployment einer Website der Bundesregierung, die Ziel staatlicher Angreifer ist, wirklich einfach ein Shell-Skript aus dem öffentlichen Web ausgeführt?
      Im Dockerfile steht curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.sh.
    • Die jüngsten Änderungen sind sichtbar, aber ich frage mich, ob man für Archivzwecke auch frühere Zeitstempel einsehen kann.
  • Ich möchte über den Hack selbst sprechen. Kann jemand eine genauere Erklärung liefern als „die Datenbank war offen“? Ich bin hierhergekommen, um mir genau diese Geschichte anzusehen, sehe sie aber bisher nicht.

    • Jemand hat das JavaScript dekomprimiert, und dabei stellte sich heraus, dass mehrere darin enthaltene REST-Endpunkte ungeprüfte CRUD-Endpunkte für die Website waren.
      https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
    • Laut meiner Quelle gab es veränderbare unsichere API-Endpunkte.
    • Mit „Dritte konnten in die Datenbank schreiben, aus der die Website liest, und diese Inhalte wurden auf der Live-Website angezeigt“ gibt es definitiv zu wenig Informationen, um sicher etwas zu sagen.
      Es könnte SQL-Injection gewesen sein, oder Zugangsdaten könnten im Frontend offengelegt worden sein.
    • Meine Stimme geht an SQL-Injection.
    • Der Artikel ist hinter einer Paywall, aber in Wirklichkeit klingt es so, als sei das auf den auf der Website angezeigten Twitter-Feed beschränkt gewesen.
      Im Grunde war die Website auf Cloudflare gehostet, und man konnte offenbar gefälschte Tweets in die auf der Website gespeicherten Inhalte einschleusen – nicht in den echten DOGE-Twitter-Feed. Es sieht nicht so aus, als seien echte Daten abgeflossen.
  • Ironischerweise verweist der WHOIS-Eintrag auf CISA, also die Cybersecurity and Infrastructure Security Agency. Das schafft ja ziemlich viel Vertrauen.

  • Die Website mit den Einsparungen hatte angekündigt, bis Valentinstag Belege zu zeigen.
    https://www.doge.gov/savings
    Jetzt steht dort: „Belege werden am Wochenende veröffentlicht!“ Als Nächstes heißt es dann wohl: „Die Website ist bereit für Belege.“

    • Meinst du so wie Musks andere Versprechen à la FSD?
    • Es sieht so aus, als hätten sie begonnen, einige Daten hochzuladen. Ich weiß nicht, was FPDS ist, aber die Dokumente sehen alle so aus, als seien sie im OSX-Aqua-Theme gerendert.
      Viele Kürzungen wirken zunächst, als würden sie „Sinn ergeben“, aber das ändert sich, wenn man erkennt, dass „Zeitschriftenabos kürzen“ in Wirklichkeit bedeutet, „dem Consumer Financial Protection Bureau Finanznachrichtenquellen abzuschneiden“ oder „zuverlässige Nachrichtenabonnements für Leute nicht zu verlängern, die wirklich aktuelles Zeitgeschehen verstehen müssen“.
      Es gibt auch viele Kürzungen bei DEI-/Diversity-Schulungen, und das fühlt sich weniger wie ein Krieg gegen „Menschen tatsächlich freundlich behandeln“ an, sondern eher so, als zielten sie auf Gruppen, denen diese Schulungen helfen, damit Mitarbeitende sie besser betreuen können. Wenn man etwa DEI bei SNAP kürzt: Den angeblich von der USDA stammenden Daten zufolge sind fünf ethnische Gruppen und „unbekannte Ethnie“ bei SNAP registriert. Man kann sich vorstellen, wie man Menschen schulen würde, Personen mit unterschiedlichen ethnischen Hintergründen, die solche Unterstützung brauchen, zu verstehen, mit ihnen zu interagieren und ihnen zu helfen.
      Empathie und Verständnis sind in solchen Rollen sehr gute Fähigkeiten, und ich sehe DEI als Schulung, die allen Beteiligten genau das vermittelt. Die gängige Auffassung der Rechten ist, dass DEI rassistisch und gegen Weiße gerichtet sei, aber dabei fehlt die Vorstellung, dass auch Nichtweiße diese Schulung brauchen könnten. DEI bedeutet, Unterschiede zu verstehen; die Rechte liest daraus offenbar „Nichtweiße verstehen“ und scheint sich schon an der Tatsache zu stören, dass man über andere Kulturen nachdenken soll.
      Eine weitere Kürzung betraf Budget für Gender-Schulungen, und diese Schulung war für ein Büro im Technik- und Ingenieurbereich gedacht. Diese Felder sind seit Langem berüchtigt dafür, männlich dominiert zu sein, daher ist nachvollziehbar, dass solche Schulungen nützlich sind. Weil ich gehört habe, wie Menschen in der Tech-Branche mit Frauen und queeren Personen sprechen und sich ihnen gegenüber verhalten, halte ich Schulungen für notwendig.
      Solche Programme versuchen nicht, Menschen einzutrichtern, was sie denken sollen. Wenn jemand nicht empathisch mit der Welt interagieren kann, wird eine Schulung am Arbeitsplatz das nicht ändern. Aber sie kann vermitteln, wie man in einem professionellen Umfeld interagiert und produktiv zusammenarbeitet. In Unternehmen geht es darum, mehr Geld zu verdienen; in der Regierung darum, mehr Menschen zu helfen. Das schließt sowohl die Mitarbeitenden als auch die Communities ein, die Leistungen erhalten.
      Letztlich tut Trump, was er gesagt hat, und die Details sind düster.
  • Schnell handeln und Dinge kaputtmachen, in der Regierungsversion

  • DOGE scheint sogar besser zu „Vox Populi, Vox Dei“ zu passen als Twitter

  • Wer braucht Feinde, wenn man solche Freunde hat?

  • Vielleicht sollte man diese Leute entlassen und durch echte Ingenieure ersetzen.
    Da einige von ihnen Hacker News lesen dürften, hier ein Rat: Legt ChatGPT beiseite und lernt wirklich, was ihr da tut.

    • Echte Ingenieure würden eine angemessene Bezahlung und Arbeitszeiten wollen und ihren Chef nicht für einen lebenden Gott halten.
      Sie könnten sogar Selbstvertrauen und Moral haben, was wohl ein kompletter Ausschlussgrund wäre.
    • Dass sie alle so jung sind, erklärt immerhin, warum ich nicht einmal ein Vorstellungsgespräch bekommen habe. Mit 28 war ich offenbar schon zu alt, um dort eingestellt zu werden.
    • Das sind keine gewissenhaften Fachleute, sondern Ideologen.
    • Gesucht ist jemand, der drei Bedingungen erfüllt: ein erfahrener guter Ingenieur, keine Ethik, und zufrieden mit einer Bezahlung unter dem Marktwert für erfahrene gute Ingenieure ohne Ethik.
  • Seht ihr nicht, was hier tatsächlich passiert? Eine „Regierungsbehörde“ wird nach einem Meme-Coin benannt, und jemand unterbricht im Oval Office mit aufgesetzter Mütze den tatsächlich dort sitzenden Präsidenten.
    Elon will signalisieren, dass er keinen Respekt vor den Institutionen unseres Landes hat. Warum hätte Trump sonst so eine Kleinigkeit getan, als würde nur Mexico umbenannt? Es ist ein Lackmustest dafür, wer sich der absurdesten Machtdemonstration fügt. Heute wurde das in die Tat umgesetzt, indem der AP der Zugang zum Oval Office und zu AF1 verwehrt wurde, weil sie in dieser Frage nicht eingeknickt ist. Das ist viel düsterer, als dass Elon einfach nur außer Kontrolle wäre.

    • Genau. Das ist ein faschistischer Putsch von Neonazis.
    • Das ist viel, viel schlimmer als der 11. September.
      Vielleicht ist nur der erste Turm noch nicht eingestürzt, und man könnte denken, der Feuerball sei weg und die Feuerwehrleute gingen die Treppen hinauf, also würden wir gleich gerettet. Aber unter der Oberfläche glüht das Feuer weiß, und der Stahl wird mit jeder Minute heißer und weicher.
      Man muss nicht weit suchen, um Beispiele dafür zu finden, wie winzige Änderungen früherer Regierungen enorme unbeabsichtigte Folgen hatten. Wir werden gerade vollständig gar gekocht.
    • Genau. Man erfindet etwas Absurdes, nennt es offiziell und sperrt alle aus, die nicht mitziehen, weil sie angeblich Lügen verbreiten. Diktatur 101.
    • Der amerikanische Unternehmergeist hat Verfolgungswahn genährt und will Rache.
      Man wird protektionistische Politik umsetzen, Ausgabenkürzungen vor Steuerreformen vorantreiben und zeigen: „So viel haben wir eingespart“, dann darauf hoffen, dass die Märkte steigen, Portfolios im Wert von Hunderten Milliarden Dollar liquidieren und sich auf eine Insel zurückziehen.
      Zumindest ist das die Theorie. Die USA scheinen nicht anerkennen zu wollen, dass die CCP die industriellen Kapazitäten der USA in der Hand hat und per zentraler Planung den US-Markt für Elektroautos oder die Tonnage der Marine nach Belieben verdrängen kann. Es gibt die Annahme, dass Deregulierung endlich das Allheilmittel für Amerikas Probleme sein werde, aber man kann das nicht konsequent mit der globalen Handelspolitik verfolgen. Man kann nicht den ICC sanktionieren und zugleich von anderen Ländern verlangen, Kriminelle an die USA auszuliefern; man kann nicht den Human Rights Council fallenlassen und zugleich von anderen Ländern verlangen, unsere moralische Autorität zu respektieren.
      Die nächsten vier Jahre werden eine Zeit sein, in der die zivilisierte Welt erneut beweist, dass sie ohne die USA auskommt. Trump wird Diktatoren im Ausland schmeicheln, und der Rest wird nur mit den Füßen scharren und auf die nächste Vorwahl warten. Stillstand wie 2016 ist das Best-Case-Szenario, und zum Glück haben auch die wichtigsten Gegner der USA derzeit ziemlich zu kämpfen. Säße Trump auf dem Platz aus der Zeit von Nixon oder Reagan, wäre für die USA Game over gewesen.