Die doge.gov-Website, die jeder aktualisieren kann
(404media.co)- Es wurde festgestellt, dass doge.gov, das den Stand von Elon Musks Abbau der US-Bundesregierung verfolgt, Daten aus einer Datenbank bezieht, die von Außenstehenden bearbeitet werden kann
- Zwei Personen, die die Schwachstelle entdeckten, teilten 404 Media mit, dass Schreibzugriffe durch Dritte möglich seien und eingegebene Inhalte tatsächlich auf der Website angezeigt würden
- Ein Coder fügte der Datenbank mindestens zwei Einträge hinzu, die auf der Live-Site sichtbar waren; sie enthielten Formulierungen, die die .gov-Seite verspotteten und auf die offene Datenbank hinwiesen
- Die Site wurde hastig veröffentlicht, nachdem Musk gesagt hatte, er werde DOGE-Aktivitäten über das @DOGE-Konto auf X und die DOGE-Website veröffentlichen; später kamen ein Post-Mirror und Statistiken zur Bundesbelegschaft hinzu
- Zwei anonyme Webentwicklungs-Experten gehen davon aus, dass doge.gov nicht auf Regierungsservern, sondern auf Cloudflare Pages aufgebaut ist und dort auch der tatsächlich ausgeführte Code bereitgestellt wird
Eine von Außenstehenden bearbeitbare doge.gov-Datenbank
- doge.gov ist eine Website, die geschaffen wurde, um Elon Musks Maßnahmen zum Abbau der US-Bundesregierung zu verfolgen
- Zwei Personen, die die Schwachstelle entdeckten, teilten 404 Media mit, dass diese Site Daten aus einer Datenbank bezieht, die jeder bearbeiten kann
- Es wurde festgestellt, dass Einträge, die Außenstehende in die Datenbank schreiben, auf der Live-Website angezeigt werden
Eingeschleuste Einträge, die auf der echten Site erschienen
- Ein Coder fügte der Datenbank mindestens zwei Einträge hinzu, und diese waren tatsächlich auf der doge.gov-Website sichtbar
- “this is a joke of a .gov site”
- “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
- Beide Einträge wurden als Elemente behandelt, die auf der Workforce-Seite von doge.gov angezeigt werden
Die hastig ausgebaute DOGE-Website
- doge.gov wurde hastig veröffentlicht, nachdem Elon Musk Reportern gesagt hatte, das Department of Government Efficiency wolle „so transparent wie möglich“ sein
- Musk sagte, er werde die Maßnahmen von DOGE über den DOGE-Handle auf X und die DOGE-Website veröffentlichen
- Zu diesem Zeitpunkt war die DOGE-Website praktisch eine leere Seite
- Danach wurde die Site am Mittwoch und Donnerstag weiter ausgebaut und um folgende Funktionen ergänzt
- Spiegelung der Beiträge des @DOGE-X-Kontos
- mehrere Statistiken zur Belegschaft der US-Bundesregierung
Hinweise auf eine Bereitstellung über Cloudflare Pages
- Zwei Webentwicklungs-Experten, die anonym bleiben wollten, gehen davon aus, dass doge.gov auf einer Cloudflare-Pages-Site aufgebaut ist
- Sie baten um Anonymität, da sie derzeit Bundes-Websites untersuchen
- Nach ihrer Aussage wird doge.gov derzeit offenbar nicht auf Regierungsservern gehostet
- In die Datenbank, aus der die Site ihre Daten bezieht, können Dritte schreiben, und von Dritten geschriebene Inhalte werden bereits auf der tatsächlichen Website angezeigt
- Die beiden Quellen bestätigten, dass doge.gov Daten von der Cloudflare-Pages-Website bezieht, auf der auch der tatsächlich ausgeführte Code bereitgestellt wird
1 Kommentare
Hacker-News-Kommentare
https://archive.ph/wy1Wt
U.S. Digital Service (USDS) hatte schon lange vor der Eingliederung in DOGE Expertise darin, statische Websites für die Bundesregierung zu erstellen und bereitzustellen, und hat den gesamten Prozess öffentlich gemacht.
In wenigen Minuten kann man die komplette mit Jekyll erstellte Website usds.gov (2.700 Assets und Dokumente, 150 MB) klonen und lokal oder auf S3 erneut bereitstellen; auch die Deploy-Anleitung ist vollständig dokumentiert: https://github.com/usds/website
Ich nutze täglich mehrere SOPs; das Prinzip ist, dass man sich nur den Namen merken und den Rest vergessen können sollte, und wenn man das Dokument wiederfindet und sich neu einarbeitet, sollte man nahezu dasselbe Ergebnis erzielen. Selbst in sowjetischen Dokumenten aus den 1950er-Jahren findet man Dinge, die modernen SOPs ähneln, aber US-Navy-Dokumente wie eine SOP zum Zusammenlegen oder eine SOP zum Duschen in der Armee sind besonders praktisch.
Im Dockerfile steht
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.sh.Ich möchte über den Hack selbst sprechen. Kann jemand eine genauere Erklärung liefern als „die Datenbank war offen“? Ich bin hierhergekommen, um mir genau diese Geschichte anzusehen, sehe sie aber bisher nicht.
https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
Es könnte SQL-Injection gewesen sein, oder Zugangsdaten könnten im Frontend offengelegt worden sein.
Im Grunde war die Website auf Cloudflare gehostet, und man konnte offenbar gefälschte Tweets in die auf der Website gespeicherten Inhalte einschleusen – nicht in den echten DOGE-Twitter-Feed. Es sieht nicht so aus, als seien echte Daten abgeflossen.
Ironischerweise verweist der WHOIS-Eintrag auf CISA, also die Cybersecurity and Infrastructure Security Agency. Das schafft ja ziemlich viel Vertrauen.
Die Website mit den Einsparungen hatte angekündigt, bis Valentinstag Belege zu zeigen.
https://www.doge.gov/savings
Jetzt steht dort: „Belege werden am Wochenende veröffentlicht!“ Als Nächstes heißt es dann wohl: „Die Website ist bereit für Belege.“
Viele Kürzungen wirken zunächst, als würden sie „Sinn ergeben“, aber das ändert sich, wenn man erkennt, dass „Zeitschriftenabos kürzen“ in Wirklichkeit bedeutet, „dem Consumer Financial Protection Bureau Finanznachrichtenquellen abzuschneiden“ oder „zuverlässige Nachrichtenabonnements für Leute nicht zu verlängern, die wirklich aktuelles Zeitgeschehen verstehen müssen“.
Es gibt auch viele Kürzungen bei DEI-/Diversity-Schulungen, und das fühlt sich weniger wie ein Krieg gegen „Menschen tatsächlich freundlich behandeln“ an, sondern eher so, als zielten sie auf Gruppen, denen diese Schulungen helfen, damit Mitarbeitende sie besser betreuen können. Wenn man etwa DEI bei SNAP kürzt: Den angeblich von der USDA stammenden Daten zufolge sind fünf ethnische Gruppen und „unbekannte Ethnie“ bei SNAP registriert. Man kann sich vorstellen, wie man Menschen schulen würde, Personen mit unterschiedlichen ethnischen Hintergründen, die solche Unterstützung brauchen, zu verstehen, mit ihnen zu interagieren und ihnen zu helfen.
Empathie und Verständnis sind in solchen Rollen sehr gute Fähigkeiten, und ich sehe DEI als Schulung, die allen Beteiligten genau das vermittelt. Die gängige Auffassung der Rechten ist, dass DEI rassistisch und gegen Weiße gerichtet sei, aber dabei fehlt die Vorstellung, dass auch Nichtweiße diese Schulung brauchen könnten. DEI bedeutet, Unterschiede zu verstehen; die Rechte liest daraus offenbar „Nichtweiße verstehen“ und scheint sich schon an der Tatsache zu stören, dass man über andere Kulturen nachdenken soll.
Eine weitere Kürzung betraf Budget für Gender-Schulungen, und diese Schulung war für ein Büro im Technik- und Ingenieurbereich gedacht. Diese Felder sind seit Langem berüchtigt dafür, männlich dominiert zu sein, daher ist nachvollziehbar, dass solche Schulungen nützlich sind. Weil ich gehört habe, wie Menschen in der Tech-Branche mit Frauen und queeren Personen sprechen und sich ihnen gegenüber verhalten, halte ich Schulungen für notwendig.
Solche Programme versuchen nicht, Menschen einzutrichtern, was sie denken sollen. Wenn jemand nicht empathisch mit der Welt interagieren kann, wird eine Schulung am Arbeitsplatz das nicht ändern. Aber sie kann vermitteln, wie man in einem professionellen Umfeld interagiert und produktiv zusammenarbeitet. In Unternehmen geht es darum, mehr Geld zu verdienen; in der Regierung darum, mehr Menschen zu helfen. Das schließt sowohl die Mitarbeitenden als auch die Communities ein, die Leistungen erhalten.
Letztlich tut Trump, was er gesagt hat, und die Details sind düster.
Schnell handeln und Dinge kaputtmachen, in der Regierungsversion
DOGE scheint sogar besser zu „Vox Populi, Vox Dei“ zu passen als Twitter
Wer braucht Feinde, wenn man solche Freunde hat?
Vielleicht sollte man diese Leute entlassen und durch echte Ingenieure ersetzen.
Da einige von ihnen Hacker News lesen dürften, hier ein Rat: Legt ChatGPT beiseite und lernt wirklich, was ihr da tut.
Sie könnten sogar Selbstvertrauen und Moral haben, was wohl ein kompletter Ausschlussgrund wäre.
Seht ihr nicht, was hier tatsächlich passiert? Eine „Regierungsbehörde“ wird nach einem Meme-Coin benannt, und jemand unterbricht im Oval Office mit aufgesetzter Mütze den tatsächlich dort sitzenden Präsidenten.
Elon will signalisieren, dass er keinen Respekt vor den Institutionen unseres Landes hat. Warum hätte Trump sonst so eine Kleinigkeit getan, als würde nur Mexico umbenannt? Es ist ein Lackmustest dafür, wer sich der absurdesten Machtdemonstration fügt. Heute wurde das in die Tat umgesetzt, indem der AP der Zugang zum Oval Office und zu AF1 verwehrt wurde, weil sie in dieser Frage nicht eingeknickt ist. Das ist viel düsterer, als dass Elon einfach nur außer Kontrolle wäre.
Vielleicht ist nur der erste Turm noch nicht eingestürzt, und man könnte denken, der Feuerball sei weg und die Feuerwehrleute gingen die Treppen hinauf, also würden wir gleich gerettet. Aber unter der Oberfläche glüht das Feuer weiß, und der Stahl wird mit jeder Minute heißer und weicher.
Man muss nicht weit suchen, um Beispiele dafür zu finden, wie winzige Änderungen früherer Regierungen enorme unbeabsichtigte Folgen hatten. Wir werden gerade vollständig gar gekocht.
Man wird protektionistische Politik umsetzen, Ausgabenkürzungen vor Steuerreformen vorantreiben und zeigen: „So viel haben wir eingespart“, dann darauf hoffen, dass die Märkte steigen, Portfolios im Wert von Hunderten Milliarden Dollar liquidieren und sich auf eine Insel zurückziehen.
Zumindest ist das die Theorie. Die USA scheinen nicht anerkennen zu wollen, dass die CCP die industriellen Kapazitäten der USA in der Hand hat und per zentraler Planung den US-Markt für Elektroautos oder die Tonnage der Marine nach Belieben verdrängen kann. Es gibt die Annahme, dass Deregulierung endlich das Allheilmittel für Amerikas Probleme sein werde, aber man kann das nicht konsequent mit der globalen Handelspolitik verfolgen. Man kann nicht den ICC sanktionieren und zugleich von anderen Ländern verlangen, Kriminelle an die USA auszuliefern; man kann nicht den Human Rights Council fallenlassen und zugleich von anderen Ländern verlangen, unsere moralische Autorität zu respektieren.
Die nächsten vier Jahre werden eine Zeit sein, in der die zivilisierte Welt erneut beweist, dass sie ohne die USA auskommt. Trump wird Diktatoren im Ausland schmeicheln, und der Rest wird nur mit den Füßen scharren und auf die nächste Vorwahl warten. Stillstand wie 2016 ist das Best-Case-Szenario, und zum Glück haben auch die wichtigsten Gegner der USA derzeit ziemlich zu kämpfen. Säße Trump auf dem Platz aus der Zeit von Nixon oder Reagan, wäre für die USA Game over gewesen.