Code eines DOGE-Ingenieurs stützt Behauptungen eines NLRB-Whistleblowers

 (krebsonsecurity.com)
2 Punkte von GN⁺ 2025-04-24 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Whistleblower beim NLRB behauptet, dass die DOGE-Abteilung unter Elon Musk ohne Genehmigung mehr als 10 GB sensibler Daten zu Arbeitskonflikten heruntergeladen habe
  • DOGE-Konten umgingen mit Administratorrechten die Log-Überwachung und luden drei externe GitHub-Codes herunter, darunter einen mit IP-Rotationstechniken für Web Scraping und Brute-Force-Angriffe
  • Der zentrale Mitarbeiter Marko Elez lud die neueste Version dieser Technik auf GitHub hoch; er ist bereits zuvor wegen Verstößen gegen Informationssicherheitsregeln und umstrittener Äußerungen in die Kritik geraten
  • Zu den weiteren heruntergeladenen Codes gehörten das API-Reverse-Engineering-Tool Integuru und der Automatisierungs-Browser Browserless
  • Die Codequalität von Elez wurde auf GitHub scharf kritisiert; das betreffende Repository wurde später gelöscht

Zugriff von DOGE-Konten auf sensible Informationen

  • Der Whistleblower Daniel J. Berulis behauptet, DOGE-Mitarbeiter hätten am 3. März beim NLRB die Erstellung eines Administrator-Kontos mit höchsten Rechten (tenant admin) verlangt
  • Diese Konten waren von jeder Netzwerk-Log-Überwachung ausgenommen und konnten Daten lesen/kopieren/verändern sowie Logs manipulieren
  • Weder Berulis noch sein Vorgesetzter verfügten über solche Rechte, DOGE erhielt sie jedoch

Download von GitHub-Code und IP-Rotationstool

  • DOGE-Konten luden drei externe GitHub-Repositories herunter; eines davon war eine Bibliothek zur Erzeugung von „pseudo-infinite IPs“
  • Diese Bibliothek wird für Web Scraping und Brute-Force-Loginversuche eingesetzt
  • Der Code stammt von requests-ip-rotator, erstellt vom GitHub-Nutzer Ge0rg3; darauf aufbauend entwickelte Marko Elez im Januar 2025 async-ip-rotator

Marko Elez und seine Kontroversen

  • Marko Elez war bei mehreren Musk-Unternehmen tätig, darunter X, SpaceX und xAI, gehört derzeit zum Arbeitsministerium und ist an verschiedene Regierungsbehörden abgeordnet
  • Während seiner früheren Tätigkeit im Finanzministerium geriet er wegen eines Lecks sensibler Informationen in die Kritik; nach einer Kontroverse um rassistische Äußerungen wurde er entlassen und später wieder eingestellt
  • Politico berichtete, dass Elez in der Vergangenheit gegen erstklassige Sicherheitsrichtlinien verstoßen habe

Weitere heruntergeladene Codes und Sicherheitskontroverse

  • Zusätzlich heruntergeladene GitHub-Repositories waren:
    • Integuru: ein Framework zum Reverse Engineering von Website-APIs
    • Browserless: ein Tool zur Web-Automatisierung mit Browser-Pools
  • GitHub-Nutzer warfen async-ip-rotator gravierende Probleme bei Sicherheit und Skalierbarkeit vor
    • Es wurde bewertet mit: „Wenn dieser Code in einem produktionsreifen System verwendet wird, sollte sofort ein Sicherheitsaudit erfolgen.“

Stillstand der NLRB-Funktion und politischer Hintergrund

  • Präsident Trump entließ drei Mitglieder des NLRB und legte die Behörde damit faktisch lahm
  • Amazon und SpaceX klagen derzeit mit der Begründung, das NLRB verstoße gegen die Verfassung; ein Berufungsgericht wies dies jedoch am 5. März zurück
  • Berulis warnte, dass dieses Datenleck bestimmten Unternehmen in Arbeitskonflikten einen unfairen Vorteil verschaffen könnte
    • „Es würde möglich, Gewerkschaftsorganisatoren zu identifizieren und anschließend zu entlassen“

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-04-24
Hacker-News-Kommentar

  • Ge0rg3s Code ist "Open Source" und kann von jedem nicht-kommerziell kopiert und wiederverwendet werden

    • Eine neue, aus diesem Code abgeleitete Version namens "async-ip-rotator" wurde im Januar 2025 von DOGEs Marko Elez auf GitHub committet
    • Er ist fast identisch mit dem Originalcode, aber die Kommentare wurden entfernt, etwas async wurde hinzugefügt, und es gibt kleinere Änderungen
    • Allerdings ist die ursprüngliche GPL3-Lizenz verschwunden
    • Es ist schwer zu erwarten, dass die DOGE-Leute das verstehen oder respektieren würden

  • Laut der Beschwerde des Whistleblowers Daniel J. Berulis zeigten die NxGen-Metriken um den 11. März 2025 herum ungewöhnliche Nutzung

    • Nachdem DOGE Zugriff auf die NLRB-Systeme erhalten hatte, begann ein Nutzer mit einer IP-Adresse aus Primorskiy Krai, Russland, Login-Versuche
    • Diese Versuche wurden blockiert, waren aber besonders alarmierend
    • Die Login-Versuche nutzten eines der neu erstellten Konten, die für DOGE-bezogene Aktivitäten verwendet wurden, und der Authentifizierungsfluss wurde aufgrund einer Richtlinie blockiert, die Logins aus dem Ausland verhindert
    • Diese Login-Versuche traten mehr als 20-mal auf; besonders besorgniserregend ist, dass viele der Versuche innerhalb von 15 Minuten nach der Kontoerstellung durch einen DOGE-Ingenieur erfolgten

  • DOGE-Mitarbeiter griffen auf Daten zu, auf die sie keinen Zugriff haben sollten

    • DOGE könnte auf ein Konto mit enormen Berechtigungen zugegriffen und 10 GB an Daten heruntergeladen haben
    • Diese Daten könnten unrechtmäßig verwendet worden sein
    • Ob der POTUS einen solchen Zugriff erlauben kann, ist unklar

  • Ein DOGE-Mitarbeiter lud Code herunter, der den IP-Adresspool von AWS nutzt, um Beschränkungen zu umgehen

    • Der Code ist schlecht geschrieben
    • Die Person könnte rassistisch sein

  • Es wird infrage gestellt, wie DOGE-Mitarbeiter davon profitieren konnten, mit den "unbegrenzten" IP-Adressen von AWS Webseiten automatisiert per Screen Scraping auszulesen und sensible Daten aus internen NLRB-Datenbanken zu kopieren

    • Es wird infrage gestellt, ob sich 10.000 Sessions gleichzeitig an der Datenbank authentifiziert und Daten abgeschöpft haben
    • Wenn es ein System gibt, in dem hochsensible Daten von externen IPs aus zugänglich sind und ein einzelnes Konto sich 10.000-mal einloggen und Daten abschöpfen kann, dann gibt es ein Problem

  • Kritik an Marko Elez' Code wurde auf der GitHub-"Issues"-Seite veröffentlicht

    • Der Code wurde als "unsicher, nicht skalierbar und ein grundlegendes Engineering-Versagen" bezeichnet
    • Diese Kritik wirkt, als sei sie von einer KI erzeugt worden

  • Es gibt die Behauptung, dass der CEO von Tesla und Space-X Script Kiddies angeheuert habe

  • Es wird behauptet, jemand sollte dafür ins Gefängnis gehen

    • Dies ist nicht bloß ein einfaches Missverständnis, sondern ein vorsätzlicher Angriff auf alle US-Bürger

  • Das auf GitHub veröffentlichte Paket wird kritisiert

    • Es wirkt, als wüssten sie nicht, dass man es privat machen kann

  • Es gibt Sorge über nicht nachvollziehbaren und vollständigen Zugriff auf Regierungsdatenbanken

  • Berulis behauptet, er habe es öffentlich gemacht, weil seine Vorgesetzten ihm gesagt hätten, es nicht an US-CERT zu melden

    • Falls diese Behauptung zutrifft, stellt sich die Frage, welches Motiv die Vorgesetzten gehabt haben könnten, dies geheim zu halten
    • Auch der Rest der Bundesregierung könnte für denselben Bedrohungsakteur verwundbar sein
    • Es wird infrage gestellt, ob die Vorgesetzten die Sicherheitskrise über bessere Kanäle gemeldet haben oder ob sie versucht haben, sie vollständig unter Verschluss zu halten