व्हिसलब्लोअर: DOGE ने NLRB केस डेटा बाहर निकाला
(krebsonsecurity.com)- NLRB के security architect Daniel J. Berulis का दावा है कि Elon Musk के DOGE कर्मियों ने मार्च की शुरुआत में एजेंसी की केस फाइलों से संवेदनशील डेटा gigabytes में ट्रांसफर किया और ऐसे अल्पकालिक accounts इस्तेमाल किए जिनके निशान लगभग नहीं बचे
- बताया गया कि ये accounts NLRB सिस्टम में tenant admin अधिकारों के साथ बनाए गए थे, जिससे वे NxGen केस मैनेजमेंट डेटा को पढ़, कॉपी और संशोधित कर सकते थे, और उनके पास logs की visibility सीमित करने या उन्हें delete करने तक की permissions थीं
- 4 मार्च तड़के एजेंसी से बाहर जाने वाला traffic तेजी से बढ़ने के बाद पता चला कि एक नए account ने लगभग 10GB transfer किया, लेकिन Berulis और उनके सहयोगियों के पास यह पुष्टि करने का अधिकार नहीं था कि कौन-सी files कहां गईं
- नए DOGE account बनने के 15 मिनट के भीतर रूस के internet address से valid account name और password का उपयोग करके 20 से अधिक login प्रयास हुए, जिन्हें US के बाहर से login block करने वाली policy ने रोक दिया
- NLRB ने NPR से कहा कि कोई breach नहीं हुआ, लेकिन Berulis ने Microsoft alerts और internal email screenshots साझा किए, US-CERT reporting रुकने के बाद सार्वजनिक रूप से सामने आए, और कहा कि बाद में उनके admin अधिकार भी सीमित कर दिए गए
NLRB whistleblowing के मुख्य बिंदु
- NLRB security architect Daniel J. Berulis ने 14 अप्रैल को Senate Select Committee on Intelligence को whistleblower पत्र भेजा
- Berulis का मुख्य दावा है कि 3 मार्च से करीब एक महीने तक DOGE से जुड़े लोगों ने NLRB सिस्टम में powerful admin accounts बनाने की मांग की, और उन accounts को इस तरह exception दिया गया कि वे सामान्य network logging न छोड़ें
- NLRB unfair labor practices से जुड़ी complaints की जांच और फैसला करने वाली एक छोटी independent federal agency है, और union बनाने की इच्छा रखने वाले कर्मचारियों की confidential जानकारी तथा कंपनियों की proprietary जानकारी जैसे sensitive data रखती है
DOGE accounts बनाना और permissions की मांग
- Berulis के अनुसार, 3 मार्च को black SUVs और police escort के साथ DOGE कर्मचारी Washington D.C. के दक्षिण-पूर्व में स्थित NLRB headquarters पहुंचे
- उन्होंने Berulis या NLRB IT staff से बात नहीं की और agency leadership से मिले
- Berulis के बयान के मुताबिक, meeting के बाद NLRB के acting CIO ने निर्देश दिया कि DOGE accounts बनाते समय standard operating procedure का पालन न किया जाए, और DOGE कर्मचारियों के accounts के लिए logs या records न बनाए जाएं
- Auditors के लिए इस्तेमाल हो सकने वाली existing roles मौजूद थीं, लेकिन उनका design ऐसा था कि वे बदलाव करने की permission या बिना approval sub-systems तक access नहीं देती थीं
- Berulis ने कहा कि DOGE पक्ष को ये accounts इस्तेमाल करने का सुझाव देने की बात चर्चा में ही नहीं थी
- कहा गया कि नए accounts के पास NLRB database की जानकारी पढ़ने, copy करने और modify करने की unlimited permissions थीं
- Log visibility सीमित करना
- Log retention में delay करना
- Logs को कहीं और route करना
- पूरे logs delete करना
- ऐसे top-level अधिकार जो Berulis और उनके boss के पास भी नहीं थे
Container और NxGen data transfer
- Berulis ने पाया कि 3 मार्च को DOGE accounts में से एक ने container नाम का एक opaque virtual environment बनाया
- Container का उपयोग programs या scripts को build और run करने के लिए किया जा सकता है, बिना उनकी गतिविधि को बाहरी रूप से जाहिर किए
- सहयोगियों की पुष्टि के मुताबिक, NLRB network के अंदर container इस्तेमाल करने की कोई precedent नहीं थी
- अगले दिन, 4 मार्च को सुबह करीब 3–4 बजे agency से बाहर जाने वाला traffic काफी बढ़ गया
- Berulis और उनके सहयोगियों ने कई दिनों की जांच के बाद निष्कर्ष निकाला कि नए accounts में से एक ने NLRB के NxGen case management system से लगभग 10GB data transfer किया
- NxGen database में unions, ongoing legal cases और corporate secrets से जुड़ी sensitive information शामिल है
- Berulis और उनके सहयोगियों के पास यह पुष्टि करने का network access नहीं था कि किन files को access या transfer किया गया, या data कहां गया
- Berulis ने Senate को बताया कि उन्हें नहीं पता कि data कुल 10GB था या transfer से पहले उसे जोड़ा और compress किया गया था, और अधिक data leak होने की संभावना है
- कहा गया कि NLRB database से data का सीधे बाहर जाना बेहद कम होता है, इसलिए यह surge बहुत असामान्य था
Russian IP login attempts और suspected accounts
- Berulis और उनके सहयोगियों ने रूस के internet address 83.149.30.186 से DOGE employee account के valid credentials का उपयोग करके 20 से अधिक login attempts देखे
- ये सभी attempts US के बाहर से login प्रतिबंधित करने वाले rule के कारण block हो गए
- Berulis ने कहा कि authentication flow के आधार पर लग रहा था कि login attempt करने वाले के पास सही username और password थे
- खास तौर पर कई attempts DOGE engineers द्वारा accounts बनाए जाने के 15 मिनट के भीतर हुए, जिससे चिंता और बढ़ गई
- संदिग्ध गतिविधि से जुड़े Microsoft user account names में से एक DogeSA_2d5c3e0446f9@nlrb.microsoft.com था, और Berulis ने इसे NLRB cloud system में DOGE के उपयोग के लिए बनाया गया और फिर delete किया गया account माना
- अन्य नए Microsoft cloud admin accounts में Whitesox, Chicago M., Dancehall, Jamaica R जैसे non-standard usernames शामिल थे
Missing logs और external code libraries
- 5 मार्च को Berulis ने document किया कि हाल में बनाए गए network resources से जुड़े logs का बड़ा हिस्सा गायब था, और Microsoft Azure का network watcher “off” status पर set था, जिससे normal data collection और recording नहीं हो रही थी
- यह भी पता चला कि किसी ने GitHub से तीन external code libraries download कीं, जिनका उपयोग NLRB या contractors नहीं करते थे
- Code bundles में से एक की readme file में बड़े cloud internet address pool के जरिए connections rotate करने का उद्देश्य बताया गया था
- उसमें लिखा था कि यह address pool web scraping और bruteforcing के लिए “pseudo-infinite IPs” proxy के रूप में इस्तेमाल होता है
- Brute-force attack एक login attack है जिसमें credentials के कई combinations को तेजी से automated तरीके से try किया जाता है
US-CERT reporting रोकना और सार्वजनिक करने का फैसला
- Berulis की whistleblower disclosure के अनुसार, 17 मार्च के आसपास यह स्पष्ट हो गया कि NLRB के पास DOGE accounts की unusual activity की पूरी जांच करने के लिए resources या network access अब नहीं था
- 24 मार्च को agency के associate CIO ने सहमति दी कि इस मामले की US-CERT को report की जानी चाहिए
- US-CERT, Department of Homeland Security के तहत CISA द्वारा संचालित है, और federal तथा state government agencies को on-site cyber incident response capability प्रदान करता है
- Berulis ने कहा कि 3–4 अप्रैल के बीच उन्हें और associate CIO को US-CERT reporting और investigation रोकने का निर्देश मिला, और official report बनाने या आगे बढ़ाने से भी मना किया गया
- इसी समय Berulis ने अपनी investigation के परिणाम सार्वजनिक करने का फैसला किया
NLRB का इनकार और Berulis की सामग्री
- NLRB acting press secretary Tim Bearese ने NPR से कहा कि DOGE ने NLRB systems तक access मांगा या पाया, ऐसा कभी नहीं हुआ
- उन्होंने NPR को बताया कि Berulis द्वारा concerns उठाने के बाद agency ने जांच की और निष्कर्ष निकाला कि “agency systems में कोई breach नहीं हुआ”
- NLRB ने KrebsOnSecurity के सवालों का जवाब नहीं दिया
- Berulis ने DOGE accounts बताए गए unexplained account activity पर agency emails में हुई चर्चा, और उस अवधि में Microsoft द्वारा देखी गई network anomalies से जुड़े NLRB security alert screenshots साझा किए
NLRB से जुड़ा अलग context
- CNN ने पिछले महीने report किया कि President Trump ने NLRB board के 3 members को हटाया, जिससे agency ने कामकाज के लिए जरूरी quorum खो दिया और व्यावहारिक रूप से ठप हो गई
- CNN ने लिखा कि सीमाओं के बावजूद NLRB, Elon Musk सहित अमेरिका के wealthy और powerful लोगों के लिए headache रही है
- Amazon और Musk की SpaceX ने worker rights और union organizing से जुड़े disputes में NLRB द्वारा दायर complaints को लेकर NLRB के खिलाफ मुकदमे दायर किए हैं
- दोनों companies का दावा है कि NLRB का अस्तित्व ही unconstitutional है
- 5 मार्च को US appeals court ने Musk पक्ष के इस दावे को सर्वसम्मति से खारिज कर दिया कि NLRB structure Constitution का उल्लंघन करता है
Whistleblowing के बाद access restrictions
- Berulis ने कहा कि जिस दिन NPR ने 14 अप्रैल को उनके दावों पर report की, उसी दिन NLRB deputy CIO ने email भेजकर बताया कि सभी employee accounts से admin controls हटा दिए गए हैं
- Berulis के अनुसार, इसके परिणामस्वरूप NLRB IT staff अब अपना काम ठीक से नहीं कर पा रहे
- 16 अप्रैल को NLRB director Lasharn Hamilton के agency-wide email में कहा गया कि DOGE officials ने meeting का अनुरोध किया था, और agency ने फिर दोहराया कि पहले DOGE personnel से उसका “official” contact नहीं था
- उसी email ने staff को बताया कि DOGE के 2 representatives कई महीनों तक part-time रूप से NLRB में तैनात रहेंगे
- Berulis ने कहा कि जब वे DOGE accounts पर additional information मांगने के लिए Microsoft support ticket बना रहे थे, तब उनका network admin access सीमित कर दिया गया
- वे चाहते हैं कि lawmakers Microsoft से accounts में वास्तव में क्या हुआ, इस बारे में और information मांगें
धमकी के दावे और वर्तमान स्थिति
- Berulis के वकील Andrew P. Bakaj ने lawmakers को बताया कि 7 अप्रैल को जब Berulis और legal team whistleblower documents तैयार कर रहे थे, तब किसी ने Berulis के घर के दरवाजे पर धमकी भरा note चिपका दिया
- कहा गया कि उस note में Berulis की अपने neighborhood में चलते हुए drone से ली गई photos शामिल थीं
- वकील ने कहा कि धमकी वाले note में उसी disclosure का स्पष्ट उल्लेख था जिसे Senate oversight body को submit करने की तैयारी थी
- यह किसने किया, पता नहीं है, लेकिन वकील ने केवल इतना अनुमान लगाया कि NLRB systems तक access रखने वाला कोई व्यक्ति इसमें शामिल हो सकता है
- Berulis ने कहा कि friends, colleagues और public की प्रतिक्रिया काफी हद तक supportive रही और उन्हें सार्वजनिक रूप से सामने आने के फैसले का पछतावा नहीं है
- वर्तमान में Berulis NLRB से paid family leave पर हैं, और उनका कहना है कि DOGE कर्मचारियों ने full admin control ले लिया है, सभी को lock कर दिया है, और आगे जरूरत के हिसाब से limited permissions assigned की जाएंगी
- अतिरिक्त सामग्री: Berulis के whistleblower documents
1 टिप्पणियां
Hacker News की राय
एक हफ्ते पहले भी इस पर काफी चर्चा हुई थी
https://news.ycombinator.com/item?id=43691142
7 दिन पहले 1139 points, 528 comments
संबंधित पोस्ट: DOGE के NLRB में काम कर रहे समय के असामान्य संकेतों पर whistleblower affidavit[pdf] - 16 घंटे पहले, 13 comments - https://news.ycombinator.com/item?id=43755298
यह पूरा article किसी comedy जैसा पढ़ता है। hidden accounts, Russia से login attempts, और यह हिस्सा भी है
“Berulis ने KrebsOnSecurity को बताया कि DOGE accounts के बारे में और जानकारी मांगने के लिए Microsoft में support ticket बनाते समय उसकी network administrator access सीमित कर दी गई। अब वह उम्मीद कर रहा है कि सांसद Microsoft से accounts में वास्तव में क्या हुआ, इस बारे में और जानकारी मांगेंगे”
Microsoft के पास किसी government agency के login और account information क्यों हैं? इससे बेहतर तो basement में रखा कोई mainframe होगा जिसमें Windows भी न हो और internet भी नहीं
France/Germany की governments इसी वजह से alternatives में invest कर रही हैं: https://www.techspot.com/news/107225-france-germany-unveil-d...
Guccifer 2.0 को याद करें, उस persona ने सिर्फ Russian IP address ही नहीं इस्तेमाल किया था, बल्कि GRU headquarters building को allocated IP इस्तेमाल किया था
Edward Coristine दिलचस्प है, क्योंकि 2022 में उसे “competitors को internal company information leak करने के आरोपों” में cybersecurity company Path Network से निकाला गया था [1]. वह किसी foreign intelligence agency के लिए recruit करने लायक आदर्श candidate लगता है। ऊपर से उसने cybercrime social network account भी इस्तेमाल किया था [2]
समझ नहीं आता कि ऐसा व्यक्ति government के आसपास लगातार कैसे काम कर सकता है
[1] https://en.wikipedia.org/wiki/Edward_Coristine
[2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...
Russian influence operations के लक्ष्यों में से एक US cohesion को कमजोर करना है, और हमने अलग-अलग विचारधाराओं वाले civic group ads को support करने के मामलों में भी यह देखा है
साथ ही, यह भी संदेहास्पद है कि यह सब ठीक उसी समय हुआ जब US Ukraine peace को लेकर Russia से negotiations कर रहा था। क्योंकि यह negotiation कर रही regime को मुश्किल में डालता है और Russia के साथ फूट को बढ़ावा देता है। यह संकेत है कि मामला साधारण नहीं भी हो सकता
intelligence जटिल होती है
DOGE आने वाले कुछ सालों तक एक दिलचस्प case study रहेगा। मेरे एक दोस्त को national aviation system को शुरू से फिर से बनाने में मदद करने के लिए hiring contact मिला था, Sean Duffy को सीधे report करने वाले 1099 contractor के रूप में।
recruiter ने इसे शाम और weekends में किए जाने वाले side gig की तरह पेश किया, और hourly rate बहुत खराब था। जब दोस्त ने कहा कि pay अभी मिलने वाली salary से काफी कम है, तो जवाब मिला कि DOGE में काम करने की प्रतिष्ठा मिलेगी
आखिर DOGE कितना खर्च कराएगा, यह देखना रोचक होगा। उम्मीद है कि सचमुच tens of billions of dollars नहीं होंगे, और lawsuits वगैरह के खर्च के बाद भी अगर 100–200 billion dollars की बचत होती है, तो net effect positive हो सकता है
अगर यह post duplicate मानकर मर जाती है तो अफसोस होगा
हां, story दो बार post हुई है। पहली submission[0] लगभग 10 घंटे पुरानी है और उसमें सिर्फ 3 comments हैं। इस post में लिखते समय 348 comments हैं। अगर interesting discussion को महत्व देते हैं, तो साफ है कि केंद्र यही है
[0] https://news.ycombinator.com/item?id=43758392
इसलिए बेफिक्र होकर submit कर सकता हूं। या तो existing post में merge हो जाती है, या नई post शुरू हो जाती है। इस बार काम नहीं किया? URL भी वही है। कभी-कभी random query string से duplicate detector को चकमा दिया जाता है, लेकिन इस case में तो सच में identical है। अजीब है
“Berulis ने 3 मार्च को पाया कि DOGE accounts में से एक ने ‘container’ नाम का एक अपारदर्शी virtual environment बनाया था। इसका उपयोग बाहर अपनी activity दिखाए बिना programs या scripts build और run करने के लिए किया जा सकता है। Berulis ने कहा कि जब उन्होंने colleagues से पूछा तो NLRB network में किसी ने भी container का इस्तेमाल नहीं किया था, इसलिए वह container अलग से नजर आया”
यह हिस्सा पढ़ते समय कई वजहों से अजीब लगा
हैरानी है कि यह साफ तौर पर treason के दायरे में नहीं आता
checks and balances सभी इस्तेमाल हुए, लेकिन fail हो गए
“Russia ने Russian IP से American data access किया”
क्या सिर्फ मुझे ऐसा लग रहा है, या यह किसी के द्वारा Russia connection बनाने की कोशिश जैसा सुनाई देता है? Russian intelligence agency ऐसा amateur तरीके से क्यों करेगी? जैसे वे पकड़े जाना चाहते हों। Cui bono?
आखिर NLRB data से वे करना क्या चाहते होंगे? उनके पास कोई idea हो भी सकता है, नहीं भी। लक्ष्य है: “हमने तुम्हारा data ले लिया है, अब परेशान रहो।” पकड़े जाना भी इस लक्ष्य में मदद करता है
IP देखें तो यह mobile line भी हो सकती है। Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFon दिखता है
उदाहरण के लिए, contracted individuals में से कोई किसी वजह से Russia travel कर रहा हो और login test करने के लिए अपना hotspot इस्तेमाल कर बैठा हो, यह भी संभव है
यहां जो incompetence level दिखा है, उसे देखते हुए यह चौंकाने वाला नहीं होगा। इसलिए whistleblower की जरूरत होती है, और investigation शुरू होती है। अब investigation ठीक से शुरू होने तक हर जरूरी information request के लिए bureaucracy और legal fights में महीनों, सालों इंतजार करना पड़ेगा। बेहद frustrating है
सबसे plausible case देखें तो, shiba-doge amateurs में से किसी एक के laptop में virus था, account बनाने के बाद वे credentials अपने-आप Russian-speaking botfarm में चले गए, और वहां से botnet ने कुछ automatic attacks शुरू किए, लेकिन regional firewall ने रोक दिया
आम लोगों के लिए dots जोड़कर conclusion तक पहुंचना ही काफी लगता है। कुछ technical knowledge रखने वाले लोगों को powerful tools मिले, लेकिन उनके actions के क्या परिणाम होंगे, इस पर पूरी oversight नहीं थी
यह article HN front page से गायब क्यों हो गया? 2 घंटे पहले आया था और 649 points भी मिले थे
unwanted conversations भड़काने के risk की वजह से post को effectively शून्य में भेज दिया जाता है