2 Punkte von GN⁺ 2025-04-24 | 1 Kommentare | Auf WhatsApp teilen
  • Der NLRB-Sicherheitsarchitekt Daniel J. Berulis behauptet, dass DOGE-Konten Anfang März mehr als 10 GB Daten aus sensiblen Fallakten entnommen hätten; ein heruntergeladenes GitHub-Codepaket erwies sich als sehr ähnlich zu Code des DOGE-Mitarbeiters Marko Elez
  • Laut Berulis hatten die für DOGE angelegten Konten tenant admin-Rechte und sollten von Netzwerk-Logging ausgenommen werden; die Berechtigungen hätten Datenzugriff, Kopieren und Änderungen sowie die Einschränkung der Log-Sichtbarkeit ermöglicht
  • Die Beschreibung des fraglichen Codes spricht davon, mit dem großen IP-Pool von AWS API Gateway „pseudo-infinite IPs“ für Web Scraping und Brute-Force-Angriffe zu erzeugen; sie steht in Verbindung mit requests-ip-rotator auf GitHub und async-ip-rotator, das Elez im Januar 2025 geforkt hat
  • Das ebenfalls heruntergeladene GitHub-Archiv enthielt auch Integuru, ein Tool zum Reverse Engineering von Website-APIs, sowie Browserless, einen Headless Browser zur Automatisierung von Webaufgaben – beides passt in den Kontext von Scraping und Automatisierung
  • Die NLRB-Fallakten enthalten Informationen zu Beschäftigten, die eine Gewerkschaft gründen wollen, sowie proprietäre Unternehmensdokumente; Berulis befürchtet, dass diese Daten, sollten sie an Unternehmen gelangen, Beklagten in laufenden Arbeitskonflikten einen unfairen Vorteil verschaffen könnten

Behauptungen des NLRB-Whistleblowers

  • Der NLRB-Sicherheitsarchitekt Daniel J. Berulis behauptet, dass DOGE-Vertreter Anfang März gigabyteweise Daten aus sensiblen Fallakten der Behörde abgezogen hätten
  • Laut Berulis’ Whistleblower-Meldung trafen sich DOGE-Vertreter am 3. März mit der NLRB-Führung und verlangten die Einrichtung mehrerer mächtiger tenant admin-Konten
    • Für diese Konten sei gefordert worden, sie vom Netzwerk-Logging auszunehmen, das normalerweise detaillierte Aktivitätsaufzeichnungen erzeugt
    • Die neuen DOGE-Konten hätten uneingeschränkte Rechte gehabt, Informationen in NLRB-Datenbanken zu lesen, zu kopieren und zu ändern
    • Es seien zudem Berechtigungen gewesen, mit denen sich die Sichtbarkeit von Logs einschränken, deren Aufbewahrung verzögern, Logs an andere Orte umleiten oder vollständig entfernen ließen
  • Berulis behauptet, den DOGE-Konten seien höchste Benutzerrechte gewährt worden, über die weder er noch sein Vorgesetzter verfügten

GitHub-Code-Downloads und IP-Rotation-Tools

  • Berulis gibt an, entdeckt zu haben, dass eines der DOGE-Konten drei externe GitHub-Codebibliotheken heruntergeladen habe, die weder die NLRB noch ihre Auftragnehmer je genutzt hätten
  • Die README eines dieser Codepakete beschreibt, wie der große IP-Pool von AWS API Gateway wie ein Proxy genutzt wird, um „pseudo-infinite IPs“ für Web Scraping und Brute-Force-Angriffe zu erzeugen
  • Sucht man nach derselben Beschreibung, findet man das Repository requests-ip-rotator des GitHub-Nutzers Ge0rg3; die Bibliothek wird damit beworben, IP-basierte Request-Limits umgehen zu können
  • Die Beschreibung lautet sinngemäß: eine „Python library“, die den „large IP pool“ von AWS API Gateway als Proxy nutzt, um „pseudo-infinite IPs“ für Web Scraping und Brute Forcing zu erzeugen
  • Der Code von Ge0rg3 wird als Open-Source-Code beschrieben, den jeder für nichtkommerzielle Zwecke kopieren und wiederverwenden darf

Verbindung zu Marko Elez’ async-ip-rotator

  • Es gibt ein neues Projekt namens async-ip-rotator, das von Ge0rg3s requests-ip-rotator abgeleitet ist und das der DOGE-Mitarbeiter Marko Elez im Januar 2025 auf GitHub commitet hat
  • Der README-Text der GitHub-Datei, die laut Whistleblower von einem DOGE-Nutzer heruntergeladen wurde, teilt dieselbe Beschreibung wie der auf Elez’ Fork basierende Code
  • Elez wird als eine der zentralen DOGE-Personen beschrieben, die Zugriff auf das zentrale Zahlungssystem des Treasury Department hatten
    • Er war zuvor bei mehreren Musk-Unternehmen tätig, darunter X, SpaceX und xAI
    • The Wall Street Journal brachte Elez mit Social-Media-Beiträgen in Verbindung, die Rassismus und Eugenik befürworteten
    • Elez trat nach der Kontroverse zurück, wurde aber nach Unterstützung durch Präsident Donald Trump und Vizepräsident JD Vance wieder eingestellt
  • Laut Politico ist Elez derzeit als Berater des Labor Department an mehrere Behörden abgeordnet, darunter auch das Department of Health and Human Services
  • Politico berichtete unter Berufung auf Gerichtsunterlagen, Elez habe zu Beginn seiner Tätigkeit beim Treasury eine Tabelle mit Namen und Zahlungsinformationen an Mitarbeiter der General Services Administration geschickt und damit gegen Informationssicherheitsrichtlinien verstoßen

Weitere gemeinsam heruntergeladene Tools

  • Berulis nennt Integuru und Browserless als zwei weitere GitHub-Archive, die DOGE-Mitarbeiter auf NLRB-Systeme heruntergeladen hätten
  • Integuru ist ein Software-Framework, das dafür entwickelt wurde, die Application Programming Interfaces (APIs) zu rekonstruieren, die Websites zum Abrufen von Daten verwenden
  • Browserless ist ein Headless Browser zur Automatisierung webbasierter Aufgaben
    • Web Scraping
    • automatisierte Tests
    • Aufgaben, die Pools mehrerer Browser erfordern

Kritik an der Codequalität und Löschung des Repositorys

  • Am 6. Februar veröffentlichte jemand auf der GitHub-Issues-Seite von Elez’ async-ip-rotator eine lange Kritik und nannte den Code „insecure, unscalable and a fundamental engineering failure“
  • Die Kritik stellte fest, dass der Code, wenn es sich nur um ein einfaches Nebenprojekt handle, lediglich schlechter Code sei; falls jedoch eine ähnliche Implementierung in einer Umgebung mit sensiblen Daten eingesetzt worden sei, müsse sie sofort auditiert werden
  • Nach Veröffentlichung des Artikels wurde Elez’ Code-Repository gelöscht
  • Eine archivierte Version des gelöschten Repositorys ist hier verfügbar

Sensibilität der NLRB-Daten und Auswirkungen auf Arbeitskonflikte

  • Berulis’ Whistleblower-Meldung behauptet, dass DOGE-Konten mehr als 10 GB aus der Datenbank mit NLRB-Fallakten heruntergeladen hätten
  • Diese Datenbank enthält zahlreiche sensible Unterlagen, darunter Informationen zu Beschäftigten, die eine Gewerkschaft gründen wollen, sowie proprietäre Geschäftsdokumente von Unternehmen
  • Berulis sagt, er sei an die Öffentlichkeit gegangen, weil seine Vorgesetzten ihm entgegen einer früheren Vereinbarung mitgeteilt hätten, den Vorfall nicht an US-CERT zu melden
  • Berulis befürchtet, dass eine unautorisierte Datenübertragung, falls sie tatsächlich stattgefunden hat, Beklagten in mehreren beim NLRB anhängigen Arbeitskonflikten einen unfairen Vorteil verschaffen könnte
    • Er sagt, jedes Unternehmen, das Falldaten erhalte, habe einen unfairen Vorteil
    • Er sagt, Unternehmen könnten Beschäftigte und Gewerkschaftsorganisatoren identifizieren und sie ohne Angabe von Gründen entlassen

Rechtliche Lage rund um das NLRB

  • Nachdem Präsident Trump drei Mitglieder des Boards entlassen hatte, verlor das NLRB das für seine Arbeitsfähigkeit nötige quorum und ist faktisch eingeschränkt
  • Amazon und Musks SpaceX führen Klagen gegen das NLRB wegen Beschwerden, die die Behörde in Streitigkeiten über Arbeitnehmerrechte und gewerkschaftliche Organisierung eingereicht hat
  • Beide Unternehmen argumentieren sinngemäß, dass die Existenz des NLRB selbst verfassungswidrig sei
  • Am 5. März wies ein US-Berufungsgericht Musks Argument, die Struktur des NLRB verletze die Verfassung, einstimmig zurück
  • KrebsOnSecurity bat sowohl das NLRB als auch DOGE um Stellungnahme und erklärte, den Artikel bei einer Antwort zu aktualisieren

1 Kommentare

 
GN⁺ 2025-04-24
Meinungen auf Hacker News
  • Der Code von Ge0rg3 war in dem Sinne Open Source, dass ihn jeder nichtkommerziell kopieren und wiederverwenden konnte, und „async-ip-rotator“, das Marko Elez von DOGE im Januar 2025 auf GitHub veröffentlichte, wirkt wie ein davon abgeleiteter Fork.
    Originalcode: https://github.com/Ge0rg3/requests-ip-rotator
    Fork: https://github.com/markoelez/async-ip-rotator
    Der Code ist fast identisch; im Grunde wurden nur Kommentare entfernt, ein wenig async darübergestreut und Kleinigkeiten geändert. Es wirkt, als hätte jemand ihn in ein LLM eingefügt und darum gebeten, ihn asynchron zu machen. Allerdings ist die ursprüngliche GPL3-Lizenz verschwunden, und das scheint nichts zu sein, was die DOGE-Leute verstehen oder respektieren würden.

    • Das Repository wurde gelöscht, und aus dem Account sind auch 26 weitere Repositories verschwunden. Das passt zu dem Muster, dass DOGE-Mitglieder schnell Daten löschen, sobald sie Aufmerksamkeit bekommen; Ähnliches gab es auch bei früheren Fällen anderer „Teenager-Hacker“.
      Archivierte Repository-Seite: https://archive.ph/LI7tt; archivierter früherer Stand der Repository-Anzahl: https://archive.ph/tgkg5
      0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
    • Am 6. Februar schrieb jemand in einem GitHub-Issue zu async-ip-rotator eine lange und detaillierte Kritik an Elez’ Code und nannte ihn „unsicher, nicht skalierbar und ein grundlegendes Engineering-Versagen“.
      Sinngemäß hieß es: „Wenn das ein Nebenprojekt wäre, wäre es einfach nur schlechter Code. Wenn dies aber die Art ist, wie Produktionssysteme gebaut werden, ist das ein deutlich größeres Problem. Diese Implementierung ist grundlegend kaputt, und falls etwas Ähnliches in einer Umgebung mit sensiblen Daten ausgerollt wurde, sollte es sofort auditiert werden.“
    • Der Fork scheint gerade verborgen oder gelöscht worden zu sein. Ich frage mich, ob ihn jemand vor dem Verschwinden geklont hat.
    • Da GPLv3 verlangt, dass die Lizenz beibehalten wird, dürfte man dies wohl dem Besitzer des ursprünglichen Repositories oder GitHub melden können.
    • Der Teil mit GitHub ist unklar. Die GPL3-Lizenz muss bei der Weiterverbreitung beibehalten werden, aber ob das Einstellen in ein GitHub-Repository zumindest moralisch als Weiterverbreitung gilt, ist unklar.
      Die Lizenz aus einer privaten Kopie zu entfernen, ist unter den Lizenzbedingungen völlig möglich, und diese in ein privates GitHub-Repository hochzuladen, ist ebenfalls kein Problem. Unklar wird es aber, wenn jemand sie ohne Verbreitungsabsicht in ein öffentliches Repository gestellt hat, etwa wegen Beschränkungen kostenloser privater Repositories.
  • Dieser Teil der Whistleblower-Aussage wirkt deutlich gravierender:
    Um den 11. März 2025 herum zeigten NxGen-Metriken zu einem bestimmten Zeitpunkt der Vorwoche eine ungewöhnliche Nutzung, mit deutlich über der Baseline liegenden Antwortzeiten und einem höheren Anstieg des Netzwerk-Outputs als je zuvor. Das fiel offenbar fast mit einem Datenabflussereignis zusammen, außerdem nahmen Logins aus dem Ausland zu, die durch Zugriffsrichtlinien blockiert wurden.
    Beispielsweise begann innerhalb weniger Tage nach dem Zugriff von DOGE auf die NLRB-Systeme ein Nutzer mit einer IP-Adresse aus der russischen Region Primorje mit Login-Versuchen. Die Versuche wurden zwar blockiert, galten aber als besonders besorgniserregend. Für diesen Login wurde eines der neuen Konten verwendet, die bei DOGE-bezogenen Aktivitäten genutzt wurden, und da der Authentifizierungsfluss offenbar erst an der Richtlinie zum Blockieren ausländischer Logins scheiterte, scheint die Person über den richtigen Benutzernamen und das richtige Passwort verfügt zu haben. Es gab mehr als 20 solcher Versuche, und besonders beunruhigend war, dass viele davon innerhalb von 15 Minuten nach der Kontoerstellung durch DOGE-Ingenieure stattfanden.

    • Die wohlwollendste Interpretation wäre, dass die russische Seite einen Keylogger auf einem DOGE-PC platziert hatte und DOGE in einem unsicheren öffentlichen Netzwerk arbeitete.
      Die schlimmste Interpretation ist einfacher: Sie arbeiteten als russische Agenten und ermöglichten Russland den Zugriff oder installierten den Keylogger für Russland.
    • Der Artikel hätte diesen zentralen Befund zusammenfassen sollen, statt des ziemlich belanglosen Absatzes am Ende darüber, dass die auf GitHub gefundene Scraping-Software schlecht geschrieben war.
      Es handelt sich um starke Hinweise darauf, dass DOGE-Personal mehrere Cloud-IP-Adressen zum Scraping nutzte.
    • Ich frage mich, warum die Sperre „Auslands-Logins verboten“ erst nach der Prüfung der Login-Zugangsdaten greift. Vernünftiger wäre doch, vorher zu blockieren.
    • Falls es wirklich Russen waren, ist merkwürdig, warum sie versucht haben, sich aus Russland einzuloggen. VPNs mit US-Residential-IPs sind sehr billig.
    • Wenn die Verbindung aus der Region Primorje kam, wäre das selbst im echten Fall ein ziemlich unerwarteter Ort. Das heißt nicht zwingend, dass es gefälscht ist, aber es ist auch nicht üblich und ergibt wenig Sinn.
  • Laut Whistleblower forderten DOGE-Mitarbeiter am 3. März bei einem Treffen mit der NLRB-Führung, mehrere vollprivilegierte „tenant admin“-Konten anzulegen, die vom Netzwerk-Logging ausgenommen sind, das alle Aktivitäten dieser Konten detailliert festhält.
    Nach Ockhams Rasiermesser wirkt die Lage ziemlich eindeutig, aber ich frage mich, ob es für eine solche Anfrage einen legitimen Grund geben könnte.

    • Noch schlimmer ist die detailliertere Aussage des Whistleblowers, dass etwa 15 Minuten nach der Erstellung eines der DOGE-Konten ein Login-Versuch aus Russland mit dem richtigen Passwort erfolgte. Es gibt nicht viele Erklärungen, die DOGE gut aussehen lassen.
    • Ich frage mich, ob es normal ist, in ein Softwaresystem eine Funktion einzubauen, durch die ein „tenant admin“-Konto mit allen Rechten zu einer Ausnahme vom Netzwerk-Logging wird. Besonders seltsam ist das bei Systemen, die stark auf Auditierbarkeit angewiesen sind.
    • Es gibt keinen legitimen Grund. Deshalb kann man Behauptungen von Musks DOGE-Seite, sie hätten etwas gefunden, nicht für bare Münze nehmen.
      Ohne Audit-Trail können sie auch keinen Beweis vorlegen, dass sie ihre Funde nicht manipuliert haben. Wenn sie das nächste Mal behaupten, ein 170-Jähriger erhalte Sozialversicherungsschecks, lässt sich nicht beweisen, dass sie in irgendeiner Tabelle nicht einfach 100 Jahre vom Geburtsdatum abgezogen haben.
    • Es ergibt Sinn, wenn es darum geht, Spuren zu verbergen, weil sie wissen, dass das, was sie vorhaben, nicht in Ordnung ist.
    • Mir fällt kein Grund ein. Selbst wenn man jemandem umfassende Rechte zum Zugriff auf und zur Änderung von Daten gibt, schaltet man Audit-Logs nicht ab.
  • Es scheint ziemlich klar, dass DOGE-Mitarbeiter auf Daten zugegriffen haben, auf die sie keinen Zugriff hätten haben dürfen.
    Dem Artikel zufolge hatte DOGE Zugriff auf Konten mit sehr weitreichenden Lese- und Änderungsrechten, und jemand von DOGE könnte 10 GB Daten heruntergeladen haben. Die Art der Nutzung könnte illegal sein, oder schon der Zugriff an sich könnte illegal gewesen sein. Ob der Präsident eine solche Zugriffsberechtigung erteilen kann, ist ebenfalls unklar; persönlich glaube ich nicht, dass er das kann.
    Außerdem hat ein DOGE-Mitarbeiter Code heruntergeladen, mit dem sich mithilfe des riesigen IP-Pools von AWS Beschränkungen umgehen lassen; der Code war miserabel geschrieben, und die Person hat zudem rassistische Äußerungen gemacht.
    Allerdings ist mir nicht ganz klar, welchen Vorteil ein automatisiertes Screen-Scraping von Webseiten über „unbegrenzte“ IP-Adressen von AWS beim Kopieren extrem sensibler Daten aus der internen NLRB-Datenbank bringen sollte. Wenn ein hochsensibles Datensystem von externen IPs aus erreichbar ist und ein einzelnes Konto 10.000 gleichzeitige Sessions zulässt, um die interne DB abzugreifen, ist das System massiv kaputt. Oder soll das heißen, dass dieser Code so geändert wurde, dass er 100 oder 10.000 interne NLRB-IPs nutzt? Auch das ist fraglich. Die später erwähnte Automatisierung ergibt als Arbeitshilfe deutlich mehr Sinn.

    • Der Autor bringt IP-Scraping ins Spiel, erklärt aber nicht, wie das miteinander zusammenhängt, was ziemlich verwirrend ist. Ich weiß nicht, ob dieses Utility für den Datendiebstahl verwendet wurde oder ob beides völlig getrennte Vorgänge sind.
    • Zu der Aussage „der Präsident kann das wohl nicht“: Ich frage mich, auf welche Daten einer Bundesbehörde das Oberhaupt der Exekutive keinen Zugriff haben können soll.
  • Es sieht im Grunde so aus, als hätte der CEO von Tesla und SpaceX, der selbst einen hohen IQ für sich beansprucht und als Programmierer gilt, für eine Elite-Delta-Force zur Verkleinerung der Regierung im Grunde Script Kiddies eingestellt.

    • Ich mochte Elon Musk schon nicht, bevor er als cool galt. Anfangs war ich Tesla-Fan, aber nachdem ich Musks „streng geheimen Masterplan“ gelesen hatte, dachte ich, der Vorstandsvorsitzende sei ein Idiot.
      Später war ich allerdings überrascht, als ich hörte, Musk sei in der Frühphase von SpaceX ein kompetenter und findiger Leader gewesen. Vielleicht war das auch nur das Ergebnis eines Personenkults, aber es klang zumindest plausibel. Damals scheint er nicht so getan zu haben, als sei er der beste Ingenieur, sondern seinen Platz als Engineering Manager gekannt zu haben. Er könnte einem guten Manager geähnelt haben, der zwar keinen Code schreiben kann, aber Software gut versteht und genau weiß, wann man selbst codet und wann man über Design vorantreibt.
      Am Ende ist Ruhm wie eine starke Droge. Ich glaube nicht, dass Musk besonders „hochbegabt“ war, und wenn man sich seine erste Ehe ansieht, scheint er schon immer ein misogynistischer Loser gewesen zu sein; aber die Verehrung als „Tony Stark der Realität“ scheint sein Gehirn kaputtgemacht zu haben. Ketamin wird dabei auch nicht helfen.
    • In dieser Branche gibt es das Phänomen, dass Menschen, denen eine bestimmte Fähigkeit fehlt, sich selbst einreden, sie seien Genies darin, genau diese Fähigkeit in anderen zu erkennen und zu nutzen.
      Solche Leute suchen nach den „Besten der Besten“ ihrer Vorstellung und umgeben sich mit ihnen; dass dieser Glaube nicht infrage gestellt wird, wird für ihr Ego extrem wichtig. Gegenbeweise blenden sie aus, und die Menschen, die sie „entdeckt“ haben, müssen außergewöhnlich sein, damit ihre eigene Fähigkeit zur Talentselektion gerechtfertigt bleibt.
      Genau so etwas scheint hier zu passieren. Die Leute um Elon wirken nicht besonders außergewöhnlich, und ihre Kompetenz ist höchst fragwürdig, aber um seinen eigenen Mythos zu stützen, braucht er einen Harem von „Super Coders“.
    • Es wird unterschätzt, dass sie möglicherweise absichtlich Chaos stiften und Systeme scheitern lassen wollen. Der Traum der Republikaner ist eine Regierung, die versagt und deshalb privatisiert wird; und ich frage mich, ob es einen besseren Weg gibt, Regierung zum Scheitern zu bringen.
    • Wenn man ähnliche Artikel betrachtet, sind sie nach allem, was ich erkennen kann, alle Script Kiddies.
    • Der Bezeichnung Script Kiddies stimme ich zu, und die Berichterstattung hat das im Großen und Ganzen auch so gezeigt. In gewisser Weise könnte das aber beabsichtigt sein.
      Die Botschaft lautet, dass ein paar gewöhnliche Informatikstudenten, die nicht einmal alt genug sind, um einen Mietwagen zu bekommen, allein durch die Prüfung der grundlegendsten Finanzinformationen von Regierungsbehörden Milliarden Dollar einsparen können. Mit anderen Worten: Sie sollten keine „Delta Force“ sein, sondern Praktikanten.
      Ich will nicht die Mittel mit dem Zweck rechtfertigen, aber ich würde mir wünschen, dass Steuergelder effizienter eingesetzt werden. Gleichzeitig ist das Zugriffsniveau, das ihnen gewährt wird, extrem beunruhigend, und faktisch gibt es keinerlei Rechenschaftspflicht.
  • Selbst wenn man ignoriert, wer Marko ist, ist es seltsam, warum eine beliebige Person eine derart öffentliche Bloßstellung in einem Repository posten würde. Ich hatte noch nie den Impuls, ein zufällig vorbeigesehenes Repository anzugreifen, und auch die Kritik riecht nach KI-generiertem Text.
    Zitierter Link: https://github.com/markoelez/async-ip-rotator/issues/1
    Auch die folgenden Kommentare sind eine ziemlich merkwürdige Interaktion, die schwer als Zufall abzutun ist.

    • Es ist nur dann seltsam, wenn man „ignoriert, wer Marko ist“. Das war kein Zufall; jemand hat offengelegt, dass DOGEs „Genie-Coder“ in Wirklichkeit nackt dastehen.
    • Am 6. Februar gab Marko Elez bekannt, dass er bei DOGE zurücktritt, nachdem das WSJ mehrere rassistische Posts gefunden hatte, die er 2024 geschrieben hatte. Das WSJ berichtete am 5. darüber.
      Wegen dieser Sache wurde jemand wahrscheinlich neugierig, wie gut seine tatsächlichen Programmierfähigkeiten sind, und hat sich die von ihm erstellten Repositories angesehen. Später ließ Musk auf X darüber „abstimmen“, ob Elez wieder bei DOGE eingestellt werden solle; am 20. Februar hatte Elez wieder eine E-Mail-Adresse der US-Regierung, und am 21. Februar wurde berichtet, dass er bei der Social Security Administration für DOGE tätig sei.
    • Im zweiten Kommentar des Issues wird ziemlich klar erklärt, warum der erste Kommentar gepostet wurde: Nach der Meldung über seinen Rücktritt konnte die Person nicht umhin, die Heuchelei anzusprechen, dass jemand, der mit einem Account verbunden war, der „Normalisierung von Indienfeindlichkeit“ und „eugenische Einwanderungspolitik“ befürwortete, solche Ansichten im Kontext der IT-Branche hatte.
    • Etwa 20 Minuten nachdem der OP-Kommentar gepostet wurde, wurde das Repository offline genommen. Archiv-Link: https://web.archive.org/web/20250423135719/https://github.co...
    • Ich sehe nicht, warum man das für seltsam halten muss. Der Nutzer, der den Beitrag geschrieben hat, scheint schon ziemlich lange aktiv zu sein, und wenn man sich seine öffentlichen Repositories ansieht, arbeitet er offenbar in einem benachbarten Kontext; es ist also gut möglich, dass er versucht hat, async-ip-rotator in seinem eigenen Projekt zu verwenden.
  • Schon die Tatsache, dass sie solche Pakete öffentlich auf GitHub gelassen haben, ist merkwürdig. Wissen sie nicht, dass man sie privat machen kann? Ehrlich gesagt zeigt das, wie dumm diese Leute sind.

    • Oder sie sind dreist geworden, weil sie wissen, dass es keine Konsequenzen geben wird.
      Man muss sich nur die Liste der Begnadigungen dieser Regierung ansehen. Diese Leute werden nicht einmal angeklagt werden.
    • In diesem speziellen Fall ist es vielleicht nicht sehr relevant, aber private Forks auf GitHub sind nicht vollständig privat: https://docs.github.com/en/pull-requests/collaborating-with-...
    • Um einen Fork eines öffentlichen Repositorys privat zu machen, muss man die git-Kommandozeile verwenden.
    • Es wurden öffentliche Pakete wiederverwendet, und diese Pakete waren seit Jahren öffentlich. Eine Person hat Änderungen hinzugefügt und einen öffentlichen Fork erstellt – ist das nicht der Zweck von Open Source?
  • Dafür sollte jemand ins Gefängnis gehen. Das ist kein simples Missverständnis, sondern ein vorsätzlicher Angriff auf alle US-Bürger.

    • Die Leute, die das sehen und verstehen müssten, leben in einer anderen Realität, und solche unbequemen Fakten werden extrahiert, transformiert und als gerechter Zorn gegen die Menschen geladen, die sie nicht mögen.
      Das ist genau der Deep State, vor dem sie Angst hatten, und das ist auch der Stiefel, der sie niedertrampeln wird.
      Edit: Der übergeordnete Kommentar war in diesem Artikel der am höchsten gerankte und ist jetzt ganz unten?
    • Im Moment liegt die Wahrscheinlichkeit, dass so etwas passiert, bei 0.
    • Du scheinst vergessen zu haben, wer Präsident ist. Diese Leute werden damit und mit allem anderen davonkommen. Das heißt nicht, dass man es nicht versuchen sollte, aber man muss realistisch bleiben.
    • Ich glaube, in Trumps Schublade liegen bereits Begnadigungen für alle, die in diese Sache verwickelt sind. Wenn sie geglaubt hätten, irgendwann Konsequenzen tragen zu müssen, hätten sie nicht in der gesamten Regierung so viele Gesetze gebrochen.
      Wenn Begnadigungen nicht das Mittel sind, um den nächsten Kongress und die nächste Regierung daran zu hindern, das aufzuarbeiten, ist die Alternative zu düster, um darüber nachzudenken.
    • Selbst wenn jemand versuchen würde, Anklage zu erheben, würden sie am Ende ohnehin begnadigt werden; praktisch gesehen halte ich das daher für schwierig.
  • Vollständigen Zugriff auf Regierungsdatenbanken auf nicht nachvollziehbare Weise zu haben – die Folgen davon kann man sich kaum ausmalen.

    • Wir hören nur von den Fällen, in denen jemand ein Risiko eingegangen ist, Whistleblowing betrieben hat und es tatsächlich geschafft hat, die Geschichte nach draußen zu bringen.
      Ich hoffe nur, dass es genügend Belege gibt, damit die Leute es ernst nehmen. Wie viele Fälle übrig bleiben, die überhaupt eine Chance haben, öffentlich zu werden, bleibt der Leserschaft überlassen.
    • Im Grunde hatten sie direkten Zugriff auf personenbezogene Daten im Zusammenhang mit Beschwerden gegen Unternehmen, die Musk gehören.
  • Ich weiß nicht genau, was hier behauptet wird. Heißt das, die DOGE-Leute hätten „Hacker“-Code von GitHub geschrieben bzw. verwendet, um Sicherheitsbeschränkungen für NLRB-Daten zu umgehen? Wenn sie bereits ein Superuser-Konto im System hatten, frage ich mich, warum sie so etwas überhaupt nötig hatten.

    • Der Punkt des Artikels scheint zu sein, dass sich die ursprünglichen Behauptungen des Whistleblowers mit öffentlichen Materialien stützen lassen. Es ist ein weiterer Datenpunkt dafür, dass die DOGE-Leute im besten Fall schlampig vorgehen – und die wahrscheinlichere Deutung ist, dass sie Spuren verwischen wollen, weil sie wissen, dass das, was sie tun, keiner rechtlichen Prüfung standhalten würde.
    • DOGE hat Libraries heruntergeladen, die bei der Datenexfiltration helfen, und tatsächlich Daten exfiltriert, die sie über ein Superuser-Konto erhalten hatten.
      Ich empfehle, das Meldedokument zu lesen: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
    • Der Artikel ist sehr schlecht geschrieben. Das öffentliche Dokument selbst ist deutlich leichter zu lesen.
      https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
    • Der Kernpunkt geht unter, aber die Implikation ist, dass massenhaft Daten über Gewerkschaftsorganisatoren heruntergeladen und an Unternehmen weitergegeben werden könnten, damit diese Unternehmen die betreffenden Personen präventiv entlassen können.
    • Weil sie eine Backdoor hinzugefügt haben, die nicht in den Audit-Logs auftaucht.