DOGE इंजीनियर के कोड ने NLRB व्हिसलब्लोअर के दावे की पुष्टि की

 (krebsonsecurity.com)
2 पॉइंट द्वारा GN⁺ 2025-04-24 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • NLRB व्हिसलब्लोअर का दावा है कि Elon Musk के अधीन DOGE विभाग ने संवेदनशील श्रम-विवाद डेटा के 10GB से अधिक को बिना अनुमति डाउनलोड किया
  • DOGE अकाउंट ने admin अधिकारों के साथ log monitoring से बचते हुए बाहरी GitHub के तीन कोड डाउनलोड किए, जिनमें से एक में web scraping और brute-force हमलों में इस्तेमाल होने वाली IP rotation तकनीक शामिल थी
  • प्रमुख कर्मचारी Marko Elez ने इस तकनीक का नवीनतम संस्करण GitHub पर अपलोड किया था, और वह पहले भी infosec नियमों के उल्लंघन और विवादित बयानों को लेकर विवादों में रहा है
  • डाउनलोड किए गए अन्य कोड में API reverse engineering tool Integuru और automation browser Browserless शामिल थे
  • GitHub पर Elez के कोड की गुणवत्ता की कड़ी आलोचना हुई, और बाद में वह repository हटा दी गई

DOGE अकाउंट की संवेदनशील जानकारी तक पहुंच

  • व्हिसलब्लोअर Daniel J. Berulis का दावा है कि DOGE कर्मचारियों ने 3 मार्च को NLRB से सर्वोच्च-अधिकार admin अकाउंट (tenant admin) बनाने की मांग की
  • ये अकाउंट सभी network log monitoring से बाहर थे, और डेटा पढ़ने/कॉपी करने/बदलने के साथ-साथ logs में फेरबदल भी कर सकते थे
  • Berulis और उनके वरिष्ठ के पास भी ये अधिकार नहीं थे, फिर भी DOGE ने इन्हें हासिल कर लिया

GitHub कोड डाउनलोड और IP rotation tool

  • DOGE अकाउंट ने बाहरी GitHub repositories में से तीन डाउनलोड कीं, जिनमें से एक “pseudo-infinite IPs” बनाने वाली library थी
  • इस library का उपयोग web scraping और brute-force login प्रयासों में किया जाता है
  • यह कोड GitHub उपयोगकर्ता Ge0rg3 के requests-ip-rotator से निकला था, और Marko Elez ने इसी आधार पर async-ip-rotator को जनवरी 2025 में बनाया

Marko Elez और उससे जुड़े विवाद

  • Marko Elez, Musk की कई कंपनियों जैसे X, SpaceX, xAI से जुड़ा रहा है, और फिलहाल श्रम विभाग के तहत कई सरकारी एजेंसियों में तैनात है
  • पहले वित्त मंत्रालय में काम करते समय वह संवेदनशील जानकारी के लीक को लेकर विवादों में रहा, और नस्लवादी बयानों के विवाद के बाद निकाला गया, फिर बहाल कर दिया गया
  • Politico ने रिपोर्ट किया कि Elez ने पहले उच्च-स्तरीय security policy उल्लंघन किया था

अतिरिक्त डाउनलोड किया गया कोड और सुरक्षा विवाद

  • अतिरिक्त रूप से डाउनलोड की गई GitHub repositories थीं:
    • Integuru: वेबसाइट API का reverse engineering करने वाला framework
    • Browserless: browser pool का उपयोग करने वाला web automation tool
  • GitHub उपयोगकर्ताओं ने async-ip-rotator की security और scalability पर गंभीर सवाल उठाए
    • इसे इस तरह आंका गया: "अगर यह कोड production-level system में इस्तेमाल हो रहा है, तो तुरंत security audit होना चाहिए"

NLRB की कार्यक्षमता रुकना और राजनीतिक पृष्ठभूमि

  • राष्ट्रपति ट्रंप ने NLRB के तीन सदस्यों को बर्खास्त कर एजेंसी की कार्यक्षमता को लगभग पंगु बना दिया
  • फिलहाल Amazon और SpaceX यह कहते हुए मुकदमा लड़ रहे हैं कि NLRB असंवैधानिक है, लेकिन 5 मार्च को appeals court ने इसे खारिज कर दिया
  • Berulis ने चेतावनी दी कि यह डेटा लीक कुछ कंपनियों को श्रम-विवादों में अनुचित बढ़त दे सकता है
    • "union organizers की पहचान कर उन्हें निकाला जा सकता है"

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-04-24
Hacker News राय

  • Ge0rg3 का कोड "open source" है, इसलिए कोई भी इसे गैर-व्यावसायिक उपयोग के लिए कॉपी और पुन: उपयोग कर सकता है

    • इस कोड से निकला नया वर्ज़न "async-ip-rotator" जनवरी 2025 में DOGE के Marko Elez द्वारा GitHub पर commit किया गया
    • यह मूल कोड से लगभग समान है, लेकिन comments हटा दिए गए हैं, थोड़ा async जोड़ा गया है, और मामूली बदलाव हैं
    • लेकिन मूल GPL3 license गायब है
    • यह उम्मीद करना मुश्किल है कि DOGE के लोग इसे समझेंगे या इसका सम्मान करेंगे

  • whistleblower Daniel J. Berulis की शिकायत के अनुसार, लगभग 11 मार्च 2025 को NxGen metrics ने असामान्य उपयोग दिखाया

    • DOGE द्वारा NLRB सिस्टम एक्सेस करने के बाद, Primorskiy Krai, रूस के IP address वाले एक user ने login attempts शुरू किए
    • इन attempts को block कर दिया गया, लेकिन उन्होंने खास तौर पर चेतावनी पैदा की
    • login attempt उन नए बनाए गए accounts में से एक का उपयोग करके किया गया था जिन्हें DOGE-संबंधित गतिविधियों में इस्तेमाल किया गया था, और authentication flow block होने का कारण देश के बाहर से login policy थी
    • ऐसे login attempts 20 से अधिक बार हुए, और खास चिंता की बात यह थी कि कई attempts DOGE engineer द्वारा account बनाए जाने के 15 मिनट के भीतर हुए

  • DOGE कर्मचारियों ने ऐसे data तक पहुंच बनाई जिसे उन्हें एक्सेस नहीं करना चाहिए था

    • संभव है कि DOGE ने बहुत बड़े privileges वाले account तक पहुंच बनाई और 10GB data download किया
    • संभव है कि इस data का अवैध रूप से उपयोग किया गया हो
    • यह स्पष्ट नहीं है कि POTUS ऐसी पहुंच की अनुमति दे सकता है या नहीं

  • DOGE कर्मचारी ने restrictions को bypass करने के लिए AWS के IP address pool का उपयोग करने वाला कोड download किया

    • कोड खराब तरीके से लिखा गया है
    • संभव है कि वह नस्लवादी हो

  • यह सवाल उठता है कि DOGE कर्मचारी AWS के "unlimited" IP addresses का उपयोग करके web pages को अपने आप screen-scrape करने और आंतरिक NLRB database से sensitive data कॉपी करने में कैसे लाभ उठा सकता था

    • यह भी सवाल है कि क्या 10,000 sessions ने एक साथ database में authenticate करके data scrape किया
    • अगर ऐसा सिस्टम है जिसमें बाहरी IP से अत्यंत sensitive data तक पहुंच संभव है और एक ही account 10,000 बार login करके data scrape कर सकता है, तो यह एक समस्या है

  • Marko Elez के कोड की आलोचना GitHub "issues" page पर पोस्ट की गई

    • कोड को "unsafe, unscalable, and a fundamental engineering failure" बताया गया
    • यह आलोचना AI-generated लगती है

  • दावा किया गया कि Tesla और Space-X के CEO ने script kiddies को hire किया

  • कुछ लोगों का कहना है कि इस मामले में किसी को जेल जाना चाहिए

    • यह सिर्फ एक गलतफहमी नहीं, बल्कि सभी अमेरिकी नागरिकों पर एक जानबूझकर किया गया हमला है

  • GitHub पर सार्वजनिक किए गए package की आलोचना की गई

    • ऐसा लगता है जैसे उन्हें पता ही नहीं कि इसे private बनाया जा सकता है

  • सरकारी databases पर untraceable और complete access को लेकर चिंता जताई गई

  • Berulis का दावा है कि उसने यह बात इसलिए सार्वजनिक की क्योंकि उसके bosses ने उसे US-CERT को report न करने के लिए कहा था

    • अगर यह दावा सही है, तो सवाल उठता है कि उसके bosses इसे गुप्त रखने के लिए प्रेरित क्यों थे
    • यह भी संभव है कि संघीय सरकार का बाकी हिस्सा भी उसी threat actor के प्रति vulnerable हो
    • यह भी सवाल है कि क्या bosses ने बेहतर channels के माध्यम से security crisis report की, या उसे पूरी तरह चुपचाप दबाए रखने की कोशिश की