Code eines DOGE-Ingenieurs stützt Behauptungen eines NLRB-Whistleblowers
(krebsonsecurity.com)- Der NLRB-Sicherheitsarchitekt Daniel J. Berulis behauptet, dass DOGE-Konten Anfang März mehr als 10 GB Daten aus sensiblen Fallakten entnommen hätten; ein heruntergeladenes GitHub-Codepaket erwies sich als sehr ähnlich zu Code des DOGE-Mitarbeiters Marko Elez
- Laut Berulis hatten die für DOGE angelegten Konten tenant admin-Rechte und sollten von Netzwerk-Logging ausgenommen werden; die Berechtigungen hätten Datenzugriff, Kopieren und Änderungen sowie die Einschränkung der Log-Sichtbarkeit ermöglicht
- Die Beschreibung des fraglichen Codes spricht davon, mit dem großen IP-Pool von AWS API Gateway „pseudo-infinite IPs“ für Web Scraping und Brute-Force-Angriffe zu erzeugen; sie steht in Verbindung mit requests-ip-rotator auf GitHub und async-ip-rotator, das Elez im Januar 2025 geforkt hat
- Das ebenfalls heruntergeladene GitHub-Archiv enthielt auch Integuru, ein Tool zum Reverse Engineering von Website-APIs, sowie Browserless, einen Headless Browser zur Automatisierung von Webaufgaben – beides passt in den Kontext von Scraping und Automatisierung
- Die NLRB-Fallakten enthalten Informationen zu Beschäftigten, die eine Gewerkschaft gründen wollen, sowie proprietäre Unternehmensdokumente; Berulis befürchtet, dass diese Daten, sollten sie an Unternehmen gelangen, Beklagten in laufenden Arbeitskonflikten einen unfairen Vorteil verschaffen könnten
Behauptungen des NLRB-Whistleblowers
- Der NLRB-Sicherheitsarchitekt Daniel J. Berulis behauptet, dass DOGE-Vertreter Anfang März gigabyteweise Daten aus sensiblen Fallakten der Behörde abgezogen hätten
- Laut Berulis’ Whistleblower-Meldung trafen sich DOGE-Vertreter am 3. März mit der NLRB-Führung und verlangten die Einrichtung mehrerer mächtiger tenant admin-Konten
- Für diese Konten sei gefordert worden, sie vom Netzwerk-Logging auszunehmen, das normalerweise detaillierte Aktivitätsaufzeichnungen erzeugt
- Die neuen DOGE-Konten hätten uneingeschränkte Rechte gehabt, Informationen in NLRB-Datenbanken zu lesen, zu kopieren und zu ändern
- Es seien zudem Berechtigungen gewesen, mit denen sich die Sichtbarkeit von Logs einschränken, deren Aufbewahrung verzögern, Logs an andere Orte umleiten oder vollständig entfernen ließen
- Berulis behauptet, den DOGE-Konten seien höchste Benutzerrechte gewährt worden, über die weder er noch sein Vorgesetzter verfügten
GitHub-Code-Downloads und IP-Rotation-Tools
- Berulis gibt an, entdeckt zu haben, dass eines der DOGE-Konten drei externe GitHub-Codebibliotheken heruntergeladen habe, die weder die NLRB noch ihre Auftragnehmer je genutzt hätten
- Die README eines dieser Codepakete beschreibt, wie der große IP-Pool von AWS API Gateway wie ein Proxy genutzt wird, um „pseudo-infinite IPs“ für Web Scraping und Brute-Force-Angriffe zu erzeugen
- Sucht man nach derselben Beschreibung, findet man das Repository requests-ip-rotator des GitHub-Nutzers Ge0rg3; die Bibliothek wird damit beworben, IP-basierte Request-Limits umgehen zu können
- Die Beschreibung lautet sinngemäß: eine „Python library“, die den „large IP pool“ von AWS API Gateway als Proxy nutzt, um „pseudo-infinite IPs“ für Web Scraping und Brute Forcing zu erzeugen
- Der Code von Ge0rg3 wird als Open-Source-Code beschrieben, den jeder für nichtkommerzielle Zwecke kopieren und wiederverwenden darf
Verbindung zu Marko Elez’ async-ip-rotator
- Es gibt ein neues Projekt namens async-ip-rotator, das von Ge0rg3s requests-ip-rotator abgeleitet ist und das der DOGE-Mitarbeiter Marko Elez im Januar 2025 auf GitHub commitet hat
- Der README-Text der GitHub-Datei, die laut Whistleblower von einem DOGE-Nutzer heruntergeladen wurde, teilt dieselbe Beschreibung wie der auf Elez’ Fork basierende Code
- Elez wird als eine der zentralen DOGE-Personen beschrieben, die Zugriff auf das zentrale Zahlungssystem des Treasury Department hatten
- Er war zuvor bei mehreren Musk-Unternehmen tätig, darunter X, SpaceX und xAI
- The Wall Street Journal brachte Elez mit Social-Media-Beiträgen in Verbindung, die Rassismus und Eugenik befürworteten
- Elez trat nach der Kontroverse zurück, wurde aber nach Unterstützung durch Präsident Donald Trump und Vizepräsident JD Vance wieder eingestellt
- Laut Politico ist Elez derzeit als Berater des Labor Department an mehrere Behörden abgeordnet, darunter auch das Department of Health and Human Services
- Politico berichtete unter Berufung auf Gerichtsunterlagen, Elez habe zu Beginn seiner Tätigkeit beim Treasury eine Tabelle mit Namen und Zahlungsinformationen an Mitarbeiter der General Services Administration geschickt und damit gegen Informationssicherheitsrichtlinien verstoßen
Weitere gemeinsam heruntergeladene Tools
- Berulis nennt Integuru und Browserless als zwei weitere GitHub-Archive, die DOGE-Mitarbeiter auf NLRB-Systeme heruntergeladen hätten
- Integuru ist ein Software-Framework, das dafür entwickelt wurde, die Application Programming Interfaces (APIs) zu rekonstruieren, die Websites zum Abrufen von Daten verwenden
- Browserless ist ein Headless Browser zur Automatisierung webbasierter Aufgaben
- Web Scraping
- automatisierte Tests
- Aufgaben, die Pools mehrerer Browser erfordern
Kritik an der Codequalität und Löschung des Repositorys
- Am 6. Februar veröffentlichte jemand auf der GitHub-Issues-Seite von Elez’ async-ip-rotator eine lange Kritik und nannte den Code „insecure, unscalable and a fundamental engineering failure“
- Die Kritik stellte fest, dass der Code, wenn es sich nur um ein einfaches Nebenprojekt handle, lediglich schlechter Code sei; falls jedoch eine ähnliche Implementierung in einer Umgebung mit sensiblen Daten eingesetzt worden sei, müsse sie sofort auditiert werden
- Nach Veröffentlichung des Artikels wurde Elez’ Code-Repository gelöscht
- Eine archivierte Version des gelöschten Repositorys ist hier verfügbar
Sensibilität der NLRB-Daten und Auswirkungen auf Arbeitskonflikte
- Berulis’ Whistleblower-Meldung behauptet, dass DOGE-Konten mehr als 10 GB aus der Datenbank mit NLRB-Fallakten heruntergeladen hätten
- Diese Datenbank enthält zahlreiche sensible Unterlagen, darunter Informationen zu Beschäftigten, die eine Gewerkschaft gründen wollen, sowie proprietäre Geschäftsdokumente von Unternehmen
- Berulis sagt, er sei an die Öffentlichkeit gegangen, weil seine Vorgesetzten ihm entgegen einer früheren Vereinbarung mitgeteilt hätten, den Vorfall nicht an US-CERT zu melden
- Berulis befürchtet, dass eine unautorisierte Datenübertragung, falls sie tatsächlich stattgefunden hat, Beklagten in mehreren beim NLRB anhängigen Arbeitskonflikten einen unfairen Vorteil verschaffen könnte
- Er sagt, jedes Unternehmen, das Falldaten erhalte, habe einen unfairen Vorteil
- Er sagt, Unternehmen könnten Beschäftigte und Gewerkschaftsorganisatoren identifizieren und sie ohne Angabe von Gründen entlassen
Rechtliche Lage rund um das NLRB
- Nachdem Präsident Trump drei Mitglieder des Boards entlassen hatte, verlor das NLRB das für seine Arbeitsfähigkeit nötige quorum und ist faktisch eingeschränkt
- Amazon und Musks SpaceX führen Klagen gegen das NLRB wegen Beschwerden, die die Behörde in Streitigkeiten über Arbeitnehmerrechte und gewerkschaftliche Organisierung eingereicht hat
- Beide Unternehmen argumentieren sinngemäß, dass die Existenz des NLRB selbst verfassungswidrig sei
- Am 5. März wies ein US-Berufungsgericht Musks Argument, die Struktur des NLRB verletze die Verfassung, einstimmig zurück
- KrebsOnSecurity bat sowohl das NLRB als auch DOGE um Stellungnahme und erklärte, den Artikel bei einer Antwort zu aktualisieren
1 Kommentare
Meinungen auf Hacker News
Der Code von Ge0rg3 war in dem Sinne Open Source, dass ihn jeder nichtkommerziell kopieren und wiederverwenden konnte, und „async-ip-rotator“, das Marko Elez von DOGE im Januar 2025 auf GitHub veröffentlichte, wirkt wie ein davon abgeleiteter Fork.
Originalcode: https://github.com/Ge0rg3/requests-ip-rotator
Fork: https://github.com/markoelez/async-ip-rotator
Der Code ist fast identisch; im Grunde wurden nur Kommentare entfernt, ein wenig
asyncdarübergestreut und Kleinigkeiten geändert. Es wirkt, als hätte jemand ihn in ein LLM eingefügt und darum gebeten, ihn asynchron zu machen. Allerdings ist die ursprüngliche GPL3-Lizenz verschwunden, und das scheint nichts zu sein, was die DOGE-Leute verstehen oder respektieren würden.Archivierte Repository-Seite: https://archive.ph/LI7tt; archivierter früherer Stand der Repository-Anzahl: https://archive.ph/tgkg5
0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
Sinngemäß hieß es: „Wenn das ein Nebenprojekt wäre, wäre es einfach nur schlechter Code. Wenn dies aber die Art ist, wie Produktionssysteme gebaut werden, ist das ein deutlich größeres Problem. Diese Implementierung ist grundlegend kaputt, und falls etwas Ähnliches in einer Umgebung mit sensiblen Daten ausgerollt wurde, sollte es sofort auditiert werden.“
Die Lizenz aus einer privaten Kopie zu entfernen, ist unter den Lizenzbedingungen völlig möglich, und diese in ein privates GitHub-Repository hochzuladen, ist ebenfalls kein Problem. Unklar wird es aber, wenn jemand sie ohne Verbreitungsabsicht in ein öffentliches Repository gestellt hat, etwa wegen Beschränkungen kostenloser privater Repositories.
Dieser Teil der Whistleblower-Aussage wirkt deutlich gravierender:
Um den 11. März 2025 herum zeigten NxGen-Metriken zu einem bestimmten Zeitpunkt der Vorwoche eine ungewöhnliche Nutzung, mit deutlich über der Baseline liegenden Antwortzeiten und einem höheren Anstieg des Netzwerk-Outputs als je zuvor. Das fiel offenbar fast mit einem Datenabflussereignis zusammen, außerdem nahmen Logins aus dem Ausland zu, die durch Zugriffsrichtlinien blockiert wurden.
Beispielsweise begann innerhalb weniger Tage nach dem Zugriff von DOGE auf die NLRB-Systeme ein Nutzer mit einer IP-Adresse aus der russischen Region Primorje mit Login-Versuchen. Die Versuche wurden zwar blockiert, galten aber als besonders besorgniserregend. Für diesen Login wurde eines der neuen Konten verwendet, die bei DOGE-bezogenen Aktivitäten genutzt wurden, und da der Authentifizierungsfluss offenbar erst an der Richtlinie zum Blockieren ausländischer Logins scheiterte, scheint die Person über den richtigen Benutzernamen und das richtige Passwort verfügt zu haben. Es gab mehr als 20 solcher Versuche, und besonders beunruhigend war, dass viele davon innerhalb von 15 Minuten nach der Kontoerstellung durch DOGE-Ingenieure stattfanden.
Die schlimmste Interpretation ist einfacher: Sie arbeiteten als russische Agenten und ermöglichten Russland den Zugriff oder installierten den Keylogger für Russland.
Es handelt sich um starke Hinweise darauf, dass DOGE-Personal mehrere Cloud-IP-Adressen zum Scraping nutzte.
Laut Whistleblower forderten DOGE-Mitarbeiter am 3. März bei einem Treffen mit der NLRB-Führung, mehrere vollprivilegierte „tenant admin“-Konten anzulegen, die vom Netzwerk-Logging ausgenommen sind, das alle Aktivitäten dieser Konten detailliert festhält.
Nach Ockhams Rasiermesser wirkt die Lage ziemlich eindeutig, aber ich frage mich, ob es für eine solche Anfrage einen legitimen Grund geben könnte.
Ohne Audit-Trail können sie auch keinen Beweis vorlegen, dass sie ihre Funde nicht manipuliert haben. Wenn sie das nächste Mal behaupten, ein 170-Jähriger erhalte Sozialversicherungsschecks, lässt sich nicht beweisen, dass sie in irgendeiner Tabelle nicht einfach 100 Jahre vom Geburtsdatum abgezogen haben.
Es scheint ziemlich klar, dass DOGE-Mitarbeiter auf Daten zugegriffen haben, auf die sie keinen Zugriff hätten haben dürfen.
Dem Artikel zufolge hatte DOGE Zugriff auf Konten mit sehr weitreichenden Lese- und Änderungsrechten, und jemand von DOGE könnte 10 GB Daten heruntergeladen haben. Die Art der Nutzung könnte illegal sein, oder schon der Zugriff an sich könnte illegal gewesen sein. Ob der Präsident eine solche Zugriffsberechtigung erteilen kann, ist ebenfalls unklar; persönlich glaube ich nicht, dass er das kann.
Außerdem hat ein DOGE-Mitarbeiter Code heruntergeladen, mit dem sich mithilfe des riesigen IP-Pools von AWS Beschränkungen umgehen lassen; der Code war miserabel geschrieben, und die Person hat zudem rassistische Äußerungen gemacht.
Allerdings ist mir nicht ganz klar, welchen Vorteil ein automatisiertes Screen-Scraping von Webseiten über „unbegrenzte“ IP-Adressen von AWS beim Kopieren extrem sensibler Daten aus der internen NLRB-Datenbank bringen sollte. Wenn ein hochsensibles Datensystem von externen IPs aus erreichbar ist und ein einzelnes Konto 10.000 gleichzeitige Sessions zulässt, um die interne DB abzugreifen, ist das System massiv kaputt. Oder soll das heißen, dass dieser Code so geändert wurde, dass er 100 oder 10.000 interne NLRB-IPs nutzt? Auch das ist fraglich. Die später erwähnte Automatisierung ergibt als Arbeitshilfe deutlich mehr Sinn.
Es sieht im Grunde so aus, als hätte der CEO von Tesla und SpaceX, der selbst einen hohen IQ für sich beansprucht und als Programmierer gilt, für eine Elite-Delta-Force zur Verkleinerung der Regierung im Grunde Script Kiddies eingestellt.
Später war ich allerdings überrascht, als ich hörte, Musk sei in der Frühphase von SpaceX ein kompetenter und findiger Leader gewesen. Vielleicht war das auch nur das Ergebnis eines Personenkults, aber es klang zumindest plausibel. Damals scheint er nicht so getan zu haben, als sei er der beste Ingenieur, sondern seinen Platz als Engineering Manager gekannt zu haben. Er könnte einem guten Manager geähnelt haben, der zwar keinen Code schreiben kann, aber Software gut versteht und genau weiß, wann man selbst codet und wann man über Design vorantreibt.
Am Ende ist Ruhm wie eine starke Droge. Ich glaube nicht, dass Musk besonders „hochbegabt“ war, und wenn man sich seine erste Ehe ansieht, scheint er schon immer ein misogynistischer Loser gewesen zu sein; aber die Verehrung als „Tony Stark der Realität“ scheint sein Gehirn kaputtgemacht zu haben. Ketamin wird dabei auch nicht helfen.
Solche Leute suchen nach den „Besten der Besten“ ihrer Vorstellung und umgeben sich mit ihnen; dass dieser Glaube nicht infrage gestellt wird, wird für ihr Ego extrem wichtig. Gegenbeweise blenden sie aus, und die Menschen, die sie „entdeckt“ haben, müssen außergewöhnlich sein, damit ihre eigene Fähigkeit zur Talentselektion gerechtfertigt bleibt.
Genau so etwas scheint hier zu passieren. Die Leute um Elon wirken nicht besonders außergewöhnlich, und ihre Kompetenz ist höchst fragwürdig, aber um seinen eigenen Mythos zu stützen, braucht er einen Harem von „Super Coders“.
Die Botschaft lautet, dass ein paar gewöhnliche Informatikstudenten, die nicht einmal alt genug sind, um einen Mietwagen zu bekommen, allein durch die Prüfung der grundlegendsten Finanzinformationen von Regierungsbehörden Milliarden Dollar einsparen können. Mit anderen Worten: Sie sollten keine „Delta Force“ sein, sondern Praktikanten.
Ich will nicht die Mittel mit dem Zweck rechtfertigen, aber ich würde mir wünschen, dass Steuergelder effizienter eingesetzt werden. Gleichzeitig ist das Zugriffsniveau, das ihnen gewährt wird, extrem beunruhigend, und faktisch gibt es keinerlei Rechenschaftspflicht.
Selbst wenn man ignoriert, wer Marko ist, ist es seltsam, warum eine beliebige Person eine derart öffentliche Bloßstellung in einem Repository posten würde. Ich hatte noch nie den Impuls, ein zufällig vorbeigesehenes Repository anzugreifen, und auch die Kritik riecht nach KI-generiertem Text.
Zitierter Link: https://github.com/markoelez/async-ip-rotator/issues/1
Auch die folgenden Kommentare sind eine ziemlich merkwürdige Interaktion, die schwer als Zufall abzutun ist.
Wegen dieser Sache wurde jemand wahrscheinlich neugierig, wie gut seine tatsächlichen Programmierfähigkeiten sind, und hat sich die von ihm erstellten Repositories angesehen. Später ließ Musk auf X darüber „abstimmen“, ob Elez wieder bei DOGE eingestellt werden solle; am 20. Februar hatte Elez wieder eine E-Mail-Adresse der US-Regierung, und am 21. Februar wurde berichtet, dass er bei der Social Security Administration für DOGE tätig sei.
Schon die Tatsache, dass sie solche Pakete öffentlich auf GitHub gelassen haben, ist merkwürdig. Wissen sie nicht, dass man sie privat machen kann? Ehrlich gesagt zeigt das, wie dumm diese Leute sind.
Man muss sich nur die Liste der Begnadigungen dieser Regierung ansehen. Diese Leute werden nicht einmal angeklagt werden.
Dafür sollte jemand ins Gefängnis gehen. Das ist kein simples Missverständnis, sondern ein vorsätzlicher Angriff auf alle US-Bürger.
Das ist genau der Deep State, vor dem sie Angst hatten, und das ist auch der Stiefel, der sie niedertrampeln wird.
Edit: Der übergeordnete Kommentar war in diesem Artikel der am höchsten gerankte und ist jetzt ganz unten?
Wenn Begnadigungen nicht das Mittel sind, um den nächsten Kongress und die nächste Regierung daran zu hindern, das aufzuarbeiten, ist die Alternative zu düster, um darüber nachzudenken.
Vollständigen Zugriff auf Regierungsdatenbanken auf nicht nachvollziehbare Weise zu haben – die Folgen davon kann man sich kaum ausmalen.
Ich hoffe nur, dass es genügend Belege gibt, damit die Leute es ernst nehmen. Wie viele Fälle übrig bleiben, die überhaupt eine Chance haben, öffentlich zu werden, bleibt der Leserschaft überlassen.
Ich weiß nicht genau, was hier behauptet wird. Heißt das, die DOGE-Leute hätten „Hacker“-Code von GitHub geschrieben bzw. verwendet, um Sicherheitsbeschränkungen für NLRB-Daten zu umgehen? Wenn sie bereits ein Superuser-Konto im System hatten, frage ich mich, warum sie so etwas überhaupt nötig hatten.
Ich empfehle, das Meldedokument zu lesen: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...