doge.gov वेबसाइट जिसे कोई भी अपडेट कर सकता है
(404media.co)- Elon Musk की संघीय सरकार में कटौती की स्थिति ट्रैक करने वाली doge.gov बाहरी लोगों द्वारा edit की जा सकने वाली database से data लेती हुई पाई गई
- vulnerability खोजने वाले दो लोगों ने 404 Media को बताया कि third-party write operations संभव हैं, और डाली गई सामग्री असली website पर दिखाई देती है
- एक coder ने live site पर दिखने वाली database entries में कम से कम 2 items जोड़े, जिनमें .gov site का मज़ाक उड़ाने और open database की ओर इशारा करने वाले वाक्य शामिल थे
- site को तब जल्दबाज़ी में deploy किया गया जब Musk ने कहा कि वे DOGE activities को X के @DOGE account और DOGE website पर post करेंगे; बाद में posts mirror और federal workforce statistics जोड़े गए
- नाम न बताने की शर्त पर दो web development experts का मानना है कि doge.gov सरकारी servers पर नहीं, बल्कि Cloudflare Pages पर बनी दिखती है, और असल running code भी वहीं deploy होता है
बाहरी लोगों द्वारा edit की जा सकने वाली doge.gov database
- doge.gov Elon Musk की federal government reduction activities को track करने के लिए बनाई गई website है
- vulnerability खोजने वाले दो लोगों ने 404 Media को बताया कि यह site ऐसी database से data लेती है जिसे कोई भी edit कर सकता है
- यह structure confirm हुआ कि अगर कोई बाहरी व्यक्ति database में item लिखता है, तो वह item live website पर दिखाई देता है
असली site पर दिखीं inserted entries
- एक coder ने database में कम से कम 2 entries जोड़ीं, और वे entries असली doge.gov site पर दिखाई दे रही थीं
- “this is a joke of a .gov site”
- “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
- दोनों entries को doge.gov के workforce page पर दिखने वाले items के रूप में treat किया गया
जल्दबाज़ी में expand की गई DOGE website
- doge.gov को तब जल्दबाज़ी में deploy किया गया जब Elon Musk ने reporters से कहा कि Department of Government Efficiency “जितना संभव हो उतना transparent रहने की कोशिश कर रहा है”
- Musk ने कहा कि DOGE की actions को X के DOGE handle और DOGE website पर post किया जाएगा
- उस समय DOGE website असल में लगभग खाली page थी
- इसके बाद बुधवार और गुरुवार को site को और build किया गया और ये features जोड़े गए
- @DOGE X account posts का mirror
- अमेरिकी federal government workforce से जुड़े कई statistics
Cloudflare Pages-आधारित deployment के संकेत
- नाम न बताने की शर्त पर दो web development experts का मानना है कि doge.gov Cloudflare Pages site पर built दिखती है
- वे federal websites की जांच कर रहे थे, इसलिए उन्होंने anonymity मांगी
- दोनों ने कहा कि doge.gov फिलहाल government servers पर hosted नहीं दिखती
- site जिस database से data लेती है, उसमें third parties write कर सकती हैं, और third party द्वारा लिखी गई सामग्री पहले ही असली website पर दिखाई दे रही है
- दोनों sources ने confirm किया कि doge.gov ऐसी Cloudflare Pages website से data लेती है जहां actual running code deploy किया गया है
1 टिप्पणियां
Hacker News की रायें
https://archive.ph/wy1Wt
U.S. Digital Service(USDS) के DOGE में समाहित होने से पहले ही, संघीय सरकार के लिए static websites बनाने और deploy करने में उसकी लंबे समय से expertise थी, और वह पूरी प्रक्रिया खुले तौर पर करता था
कुछ ही मिनटों में Jekyll से बनी पूरी usds.gov site (2,700 assets और documents, 150MB) को clone करके local या S3 पर फिर से deploy किया जा सकता है, और deploy instructions भी पूरी तरह लिखी हुई हैं: https://github.com/usds/website
मैं रोज कई SOP इस्तेमाल करता हूं, और सिद्धांत यह है कि अगर आपको सिर्फ नाम याद रहे और बाकी सब भूल जाएं, तो भी document ढूंढकर फिर से सीखने पर लगभग वही result मिलना चाहिए। 1950s के Soviet documents में भी modern SOP जैसा कुछ मिल सकता है, लेकिन folding SOP या military shower SOP जैसे U.S. Navy documents खास तौर पर practical हैं
Dockerfile में
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.shहैमैं hack के बारे में ही बात करना चाहता हूं। “database खुला छोड़ दिया था” से ज्यादा detail कोई दे सकता है? मैं वही ठीक से देखने यहां आया था, लेकिन अभी तक नहीं दिखा
https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
यह SQL injection भी हो सकता है, या frontend में credentials expose हुए हों
मूल रूप से site Cloudflare पर hosted थी, और ऐसा लगता है कि असली DOGE Twitter feed नहीं, बल्कि site में दर्ज content में fake tweets insert किए जा सकते थे। लगता नहीं कि actual data leak हुआ हो
विडंबना यह है कि WHOIS record CISA, यानी Cybersecurity and Infrastructure Security Agency की ओर इशारा करता है। काफी भरोसा पैदा होता है
savings details वाली site ने Valentine’s Day तक receipts दिखाने का वादा किया था
https://www.doge.gov/savings
अब लिखा है “weekend में receipts जारी होने वाली हैं!” अगली बार शायद कहेंगे “site receipts के लिए तैयार है”
कई cuts शुरुआत में “समझ में आने वाले” लगते हैं, लेकिन जब पता चलता है कि “magazine subscription cut” असल में “Consumer Financial Protection Bureau में financial news sources बंद करना” है, या “जिन लोगों को current affairs की सचमुच जरूरत है उनके भरोसेमंद news subscriptions renew न करना” है, तो बात बदल जाती है
DEI/diversity training में भी कई cuts हैं, और यह “लोगों के साथ सचमुच शालीनता से पेश आने” के खिलाफ युद्ध से ज्यादा उन groups को target करना लगता है जिनकी सेवा employees बेहतर ढंग से कर सकें, इसके लिए training मदद करती है। मान लें SNAP में DEI घटाया जाता है; USDA data बताए जाने वाले material के मुताबिक 5 ethnic groups और “race unknown” SNAP में registered हैं। बस कल्पना करें कि ऐसी सहायता की जरूरत रखने वाले विविध ethnic backgrounds के लोगों को समझने, उनसे interact करने और मदद करने की training कैसे दी जाएगी
empathy और understanding ऐसे roles में बहुत अच्छी skills हैं, और मेरे हिसाब से DEI इस training को सभी संबंधित लोगों को देता है। Right-wing की common belief है कि DEI racist है और white लोगों के खिलाफ है, लेकिन यह विचार छूट जाता है कि non-white लोगों को भी यह training चाहिए हो सकती है। DEI differences को समझने के बारे में है, लेकिन right-wing इसे “non-white लोगों को समझना” पढ़ता है और शायद इस बात से ही नाराज़ होता है कि दूसरी cultures के बारे में सोचना पड़ेगा
एक और cut gender training budget का था, और वह training technology और engineering से जुड़े office के लिए थी। वह field लंबे समय से male-dominated होने के लिए बदनाम है, इसलिए ऐसी training उपयोगी है, यह समझ आता है। tech industry में महिलाओं और queer लोगों से लोग कैसे बात करते और behave करते हैं, यह सुन चुका हूं, इसलिए मुझे लगता है कि training जरूरी है
ऐसे programs लोगों को क्या सोचना है, यह indoctrinate करने के लिए नहीं हैं। अगर कोई व्यक्ति दुनिया से empathetically interact नहीं कर सकता, तो workplace training उसे नहीं बदल देगी। लेकिन professional setting में कैसे interact करना और productively काम करना है, यह बता सकती है। कंपनियों में यह ज्यादा पैसा कमाने के लिए होता है, और government में ज्यादा लोगों की मदद करने के लिए। इसमें employees और services पाने वाली communities दोनों शामिल हैं
आखिरकार Trump वही कर रहे हैं जो उन्होंने कहा था, और details निराशाजनक हैं
तेज़ी से आगे बढ़ो और चीज़ें तोड़ो, सरकारी संस्करण
DOGE तो Twitter से भी ज़्यादा “Vox Populi, Vox Dei” पर फिट बैठता लगता है
ऐसे दोस्त हों तो दुश्मनों की क्या ज़रूरत?
शायद उन बच्चों को निकालकर असली इंजीनियरों से बदलना पड़े
चूँकि उनमें से कुछ Hacker News पढ़ते होंगे, तो सलाह यह है: ChatGPT को किनारे रखो और ठीक से सीखो कि तुम कर क्या रहे हो
उनके पास आत्मविश्वास और नैतिकता भी हो सकती है, जो शायद पूरी तरह अयोग्य ठहराने वाली बात होगी
क्या यहाँ सच में हो रहा काम दिख नहीं रहा? एक “सरकारी एजेंसी” का नाम meme coin से लेना, और Oval Office में टोपी पहने बैठे-बैठे वास्तविक राष्ट्रपति की बात काटना
Elon यह संकेत देना चाहता है कि उसे हमारे देश की संस्थाओं के लिए कोई सम्मान नहीं है। Trump ने Mexico का नाम बदलने जैसी छोटी हरकत क्यों की होगी? यह देखने का litmus test है कि सत्ता के सबसे बेतुके प्रदर्शन पर कौन झुकता है। आज AP को इसी मुद्दे पर न झुकने के कारण Oval Office और AF1 में प्रवेश से प्रतिबंधित करके इसे अमल में ला दिया गया। यह Elon के बस बेलगाम हो जाने से कहीं ज़्यादा अंधेरी बात है
शायद बस अभी पहला टावर गिरा नहीं है, और आप सोच सकते हैं कि आग का गोला खत्म हो गया है और firefighters सीढ़ियाँ चढ़ रहे हैं, इसलिए जल्द ही बचा लिया जाएगा। लेकिन सतह के नीचे आग सफेद तप रही है और steel हर मिनट और गर्म और नरम होता जा रहा है
पिछली administrations द्वारा किए गए बहुत छोटे बदलावों से बहुत बड़े अप्रत्याशित परिणाम निकले हों, ऐसे उदाहरण दूर खोजने की ज़रूरत नहीं है। हम पूरी तरह पक रहे हैं
वे संरक्षणवादी नीतियाँ लागू करेंगे, tax reform से पहले खर्च कटौती को आगे बढ़ाएँगे और “देखो हमने इतनी बचत की” दिखाने के बाद, market ऊपर जाने की उम्मीद में सैकड़ों अरब डॉलर के portfolios liquidate करके किसी island पर retire होने की कोशिश करेंगे
कम-से-कम theory तो यही है। लगता है अमेरिका यह मानना नहीं चाहता कि CCP ने अमेरिका की औद्योगिक क्षमता को अपनी मुट्ठी में रखा है, और central planning के ज़रिए वह अमेरिकी EV market या naval tonnage को मनचाहे ढंग से धकेल सकता है। यह धारणा है कि deregulation आखिरकार अमेरिका की समस्याओं की रामबाण दवा बन जाएगा, लेकिन global trade policy के साथ consistent रहते हुए उसे आगे नहीं बढ़ाया जा सकता। ICC पर sanctions लगाकर दूसरे देशों से अपराधियों को अमेरिका को extradite करने की मांग नहीं की जा सकती, और Human Rights Council को छोड़कर दूसरे देशों से हमारे moral authority का सम्मान करने को भी नहीं कहा जा सकता
आने वाले 4 साल civilized world के लिए फिर से यह साबित करने का समय होंगे कि उसे अमेरिका के बिना भी काम चल सकता है। Trump विदेशों के dictators की चापलूसी करेगा, और बाकी लोग एक और primary election का इंतज़ार करते हुए बस पैर पटकते रहेंगे। 2016-शैली का stasis सबसे अच्छा scenario है, और सौभाग्य की बात हो तो अमेरिका के प्रमुख adversaries भी अभी काफी मुश्किल में हैं। अगर Trump Nixon या Reagan के दौर वाली स्थिति में बैठा होता, तो अमेरिका के लिए game over हो चुका होता