DOGE इंजीनियर के कोड ने NLRB व्हिसलब्लोअर के दावे की पुष्टि की
(krebsonsecurity.com)- NLRB के security architect Daniel J. Berulis का दावा है कि मार्च की शुरुआत में DOGE अकाउंट ने संवेदनशील केस फ़ाइलों से 10GB से अधिक डेटा निकाला, और डाउनलोड किए गए GitHub code bundle में से एक DOGE कर्मचारी Marko Elez के कोड से बहुत मिलता-जुलता पाया गया
- Berulis का दावा है कि DOGE के लिए बनाए गए अकाउंट्स को tenant admin अधिकार दिए गए थे और उनके लिए network logging exception मांगा गया था; इन अधिकारों से डेटा access, copy, modify और log visibility सीमित करना तक संभव था
- संबंधित कोड का विवरण AWS API Gateway के बड़े IP pool से “pseudo-infinite IPs” बनाकर web scraping और brute force में उपयोग करने के बारे में है, और यह GitHub के requests-ip-rotator तथा Elez द्वारा जनवरी 2025 में fork किए गए async-ip-rotator से जुड़ता है
- साथ में डाउनलोड किए गए GitHub archive में वेबसाइट API reverse engineering tool Integuru और web task automation के लिए headless browser Browserless भी शामिल थे, जो सभी scraping और automation के संदर्भ से मेल खाते हैं
- NLRB केस फ़ाइलों में यूनियन बनाना चाहने वाले कर्मचारियों की जानकारी और कंपनियों के proprietary documents शामिल हैं, इसलिए Berulis को चिंता है कि यदि यह डेटा कंपनियों तक पहुंचा तो चल रहे श्रम विवादों में प्रतिवादी पक्ष को अनुचित बढ़त मिल सकती है
NLRB व्हिसलब्लोअर के दावे
- NLRB के security architect Daniel J. Berulis का दावा है कि DOGE से जुड़े अधिकारियों ने मार्च की शुरुआत में एजेंसी की संवेदनशील केस फ़ाइलों से गीगाबाइट-स्तर का डेटा निकाला
- Berulis की whistleblower complaint के अनुसार, DOGE अधिकारियों ने 3 मार्च को NLRB नेतृत्व से मुलाकात की और कई शक्तिशाली tenant admin अकाउंट्स बनाने की मांग की
- मांग की गई कि इन अकाउंट्स को network logging से बाहर रखा जाए, जो आम तौर पर विस्तृत activity record छोड़ती है
- कहा गया कि नए DOGE अकाउंट्स को NLRB database की जानकारी पढ़ने, कॉपी करने और बदलने की बिना-सीमा अनुमति मिली थी
- यह भी कहा गया कि इन अकाउंट्स के पास log visibility सीमित करने, retention delay करने, logs को कहीं और भेजने, या उन्हें पूरी तरह हटाने तक की अनुमति थी
- Berulis का दावा है कि DOGE अकाउंट्स को ऐसे top-level user privileges दिए गए थे जो उनके पास या उनके वरिष्ठों के पास भी नहीं थे
GitHub code download और IP rotation tool
- Berulis ने कहा कि उन्हें पता चला कि DOGE अकाउंट्स में से एक ने 3 external GitHub code libraries डाउनलोड कीं, जिन्हें NLRB या उसके contractors ने पहले कभी इस्तेमाल नहीं किया था
- इनमें से एक code bundle के README में बताया गया है कि AWS API Gateway के बड़े IP pool को proxy की तरह इस्तेमाल करके web scraping और brute force के लिए “pseudo-infinite IPs” बनाए जाते हैं
- उसी विवरण की पंक्ति खोजने पर GitHub user Ge0rg3 का requests-ip-rotator repository मिलता है, जिसे IP-आधारित request limits को bypass करने वाली library के रूप में पेश किया गया है
- संबंधित विवरण में इसे “AWS API Gateway के large IP pool को proxy की तरह उपयोग कर web scraping और bruteforcing के लिए pseudo-infinite IPs बनाने वाली Python library” कहा गया है
- Ge0rg3 का कोड open source के रूप में प्रस्तुत किया गया है, जिसे कोई भी non-commercial रूप से कॉपी और reuse कर सकता है
Marko Elez के async-ip-rotator से संबंध
- Ge0rg3 के requests-ip-rotator से निकला एक नया project async-ip-rotator भी है, जिसे DOGE कर्मचारी Marko Elez ने जनवरी 2025 में GitHub पर commit किया
- व्हिसलब्लोअर के अनुसार DOGE user द्वारा डाउनलोड की गई GitHub फ़ाइल के README की भाषा Elez के fork-आधारित कोड वाले उसी विवरण से मेल खाती है
- Elez को Treasury Department के central payment system तक पहुंच रखने वाले प्रमुख DOGE कर्मियों में से एक बताया गया है
- उसने X, SpaceX, xAI जैसी Musk की कई कंपनियों में काम किया है
- The Wall Street Journal ने Elez को नस्लवाद और eugenics का समर्थन करने वाली social media posts से जोड़ा था
- विवाद के बाद Elez ने इस्तीफा दे दिया था, लेकिन President Donald Trump और Vice President JD Vance के समर्थन के बाद उसे फिर से नियुक्त किया गया
- Politico के अनुसार, Elez इस समय Labor Department के aide के रूप में कई एजेंसियों में तैनात है, जिनमें Department of Health and Human Services भी शामिल है
- Politico ने court filings का हवाला देते हुए कहा कि Treasury में शुरुआती कार्यकाल के दौरान Elez ने नाम और payment information वाली spreadsheet General Services Administration अधिकारियों को भेजी, जिससे information security policy का उल्लंघन हुआ
साथ में डाउनलोड किए गए अन्य tools
- Berulis ने NLRB systems पर DOGE कर्मचारियों द्वारा डाउनलोड किए गए दो अन्य GitHub archive के रूप में Integuru और Browserless की पहचान की
- Integuru ऐसा software framework है जिसे उन application programming interfaces (API) की reverse engineering के लिए बनाया गया है जिनका उपयोग वेबसाइटें डेटा लाने में करती हैं
- Browserless web-आधारित task automation के लिए एक headless browser है
- web scraping
- automation testing
- ऐसे कार्य जिनमें कई browser pools की जरूरत हो
code quality की आलोचना और repository deletion
- 6 फ़रवरी को किसी ने Elez के async-ip-rotator GitHub issues page पर लंबी आलोचना पोस्ट की और उस कोड को “insecure, unscalable and a fundamental engineering failure” कहा
- उस आलोचना में कहा गया कि यदि यह कोड सिर्फ एक साधारण side project है तो यह केवल खराब कोड है, लेकिन यदि इसी तरह का implementation संवेदनशील डेटा संभालने वाले environment में deploy किया गया हो, तो तुरंत audit होना चाहिए
- लेख प्रकाशित होने के बाद Elez का code repository delete कर दिया गया
- हटाए गए repository का archived version यहां उपलब्ध है
NLRB डेटा की संवेदनशीलता और श्रम विवादों पर असर
- Berulis की whistleblower complaint में दावा किया गया है कि DOGE अकाउंट्स ने NLRB case file database से 10GB से अधिक डाउनलोड किया
- इस database में यूनियन बनाना चाहने वाले कर्मचारियों से जुड़ी जानकारी और कंपनियों के proprietary business documents सहित बड़ी मात्रा में संवेदनशील रिकॉर्ड शामिल हैं
- Berulis का कहना है कि वे सार्वजनिक रूप से इसलिए सामने आए क्योंकि उनके वरिष्ठों ने पहले के समझौते के विपरीत उन्हें इस मामले की रिपोर्ट US-CERT को न करने के लिए कहा
- Berulis को चिंता है कि यदि unauthorized data transfer वास्तव में हुआ, तो NLRB में लंबित कई श्रम विवादों में प्रतिवादी पक्ष को अनुचित लाभ मिल सकता है
- उनका कहना है कि कोई भी कंपनी यदि case data हासिल कर ले तो उसे अनुचित बढ़त मिल जाएगी
- उनका कहना है कि कंपनियां कर्मचारियों और यूनियन organizers की पहचान कर सकती हैं और बिना कारण बताए उन्हें निकाल सकती हैं
NLRB को लेकर कानूनी स्थिति
- President Trump द्वारा board के 3 members को हटाने के बाद NLRB ने अपने कामकाज के लिए जरूरी quorum खो दिया है, जिससे वह व्यावहारिक रूप से सीमित स्थिति में है
- Amazon और Musk की SpaceX श्रमिक अधिकारों और यूनियन संगठन से जुड़े विवादों में NLRB द्वारा दायर complaints को लेकर NLRB के खिलाफ मुकदमे चला रही हैं
- दोनों कंपनियां यह तर्क दे रही हैं कि NLRB का अस्तित्व ही असंवैधानिक है
- 5 मार्च को अमेरिकी appeals court ने सर्वसम्मति से Musk पक्ष के उस तर्क को खारिज कर दिया कि NLRB की संरचना संविधान का उल्लंघन करती है
- KrebsOnSecurity ने NLRB और DOGE दोनों से टिप्पणी मांगी है और कहा है कि जवाब मिलने पर वह अपडेट करेगा
1 टिप्पणियां
Hacker News की राय
Ge0rg3 का कोड इस मायने में open source था कि कोई भी उसे non-commercial तौर पर copy और reuse कर सकता था, और जनवरी 2025 में DOGE के Marko Elez ने GitHub पर जो “async-ip-rotator” डाला, वह इसी कोड से निकला हुआ fork लगता है
मूल कोड: https://github.com/Ge0rg3/requests-ip-rotator
fork: https://github.com/markoelez/async-ip-rotator
कोड लगभग वही है, बस comments हटाए गए हैं, थोड़ा
asyncछिड़का गया है और कुछ मामूली बदलाव किए गए हैं; ऐसा लगता है जैसे इसे LLM में paste करके async में बदलने को कहा गया हो। लेकिन मूल GPL3 license गायब हो गया, और लगता नहीं कि DOGE के लोग ऐसी चीज़ों को समझने या सम्मान देने वाले हैंarchived repository page: https://archive.ph/LI7tt; पुराने repository count का archive: https://archive.ph/tgkg5
0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
उसमें कहा गया था, “अगर यह side project है तो यह बस खराब code भर है, लेकिन अगर production systems इसी तरह बनाए जा रहे हैं, तो यह कहीं बड़ी चिंता की बात है। यह implementation मूल रूप से टूटी हुई है, और अगर संवेदनशील data संभालने वाले environment में कुछ ऐसा ही deploy किया गया है, तो उसका तुरंत audit होना चाहिए”
अपने private copy से license हटाना license terms के तहत पूरी तरह संभव है, और उसे private GitHub repository पर डालना भी समस्या नहीं है। लेकिन अगर free private repository limits जैसी वजहों से distribution का इरादा न होते हुए भी उसे public repository में डाल दिया गया, तो क्या होगा, यह अस्पष्ट है
whistleblower के दावों में यह हिस्सा कहीं ज़्यादा गंभीर लगता है
कहा गया कि 11 मार्च 2025 के आसपास NxGen metrics में पिछले हफ्ते के एक खास समय पर abnormal usage दिखा, response times baseline से बहुत ज्यादा थे और network output में अब तक की सबसे बड़ी वृद्धि दिखी। यह data exfiltration event से लगभग मेल खाता था, और foreign logins होने के कारण access policy से blocked logins भी बढ़ गए थे
उदाहरण के लिए, DOGE के NLRB systems में access करने के कुछ ही दिनों के भीतर रूस के Primorskiy Krai के IP address वाले user ने login की कोशिशें शुरू कीं; attempts block हो गए, लेकिन वे खास तौर पर चिंताजनक थे। उस login में DOGE से जुड़ी activity में इस्तेमाल किए गए नए accounts में से एक का उपयोग हुआ, और authentication flow केवल foreign login blocking policy पर रुका, जिससे लगता है कि उसके पास सही username और password थे। ऐसी 20 से ज्यादा कोशिशें हुईं, और खास चिंता की बात यह थी कि उनमें से कई DOGE engineers द्वारा accounts बनाए जाने के 15 मिनट के भीतर हुईं
सबसे खराब व्याख्या और भी सरल है। या तो ये लोग रूस के agents के रूप में काम कर रहे थे और रूस को अंदर आने दिया, या रूस के लिए keylogger install किया
यह इस बात का मजबूत evidence है कि DOGE personnel कई cloud IP addresses का इस्तेमाल करके scraping कर रहे थे
whistleblower के मुताबिक, DOGE से जुड़े लोगों ने 3 मार्च को NLRB leadership से मुलाकात की और ऐसे कई full-power “tenant admin” accounts बनाने की मांग की जिन्हें उन network logs से बाहर रखा जाए जो उस account की सभी activities को detail में record करते हैं
Occam’s razor से देखें तो स्थिति काफी साफ लगती है, लेकिन सवाल है कि क्या ऐसी request की कोई legitimate वजह हो सकती है
audit records नहीं हैं, इसलिए वे यह evidence भी नहीं दे सकते कि findings fabricate नहीं की गईं। अगली बार अगर वे दावा करें कि कोई 170 साल का व्यक्ति Social Security checks ले रहा है, तो यह साबित करने का कोई तरीका नहीं होगा कि किसी table में date of birth से 100 साल घटाए नहीं गए
यह काफी साफ लगता है कि DOGE कर्मचारियों ने ऐसे डेटा तक पहुंच बनाई, जिस तक उन्हें नहीं पहुंचना चाहिए था
लेख के मुताबिक, DOGE ने बहुत व्यापक read/change permissions वाले accounts तक access हासिल किया, और DOGE से जुड़े किसी व्यक्ति ने 10GB डेटा डाउनलोड किया हो सकता है। उसका इस्तेमाल करने का तरीका गैरकानूनी हो सकता है, या शुरुआत से access लेना ही गैरकानूनी हो सकता है। यह भी साफ नहीं है कि राष्ट्रपति ऐसा access दे सकते हैं या नहीं, और निजी तौर पर मुझे लगता है कि नहीं दे सकते
साथ ही, DOGE के एक कर्मचारी ने ऐसा code डाउनलोड किया जो AWS के विशाल IP pool का इस्तेमाल करके restrictions bypass कर सकता था; वह code बहुत खराब तरीके से लिखा गया था, और उस व्यक्ति ने नस्लवादी टिप्पणियां भी की थीं
हालांकि, AWS के “unlimited” IP addresses से web pages को automatically screen-scrape करने का तरीका NLRB के internal database के बेहद sensitive डेटा को copy करने में कैसे मदद करता, यह मुझे ठीक से समझ नहीं आता। अगर कोई ultra-sensitive data system external IPs से accessible है और एक ही account से 10,000 concurrent sessions में login करके internal DB scrape करने देता है, तो system बहुत बुरी तरह टूटा हुआ है। या फिर क्या इसका मतलब यह है कि इस code को NLRB के internal 100 या 10,000 IPs इस्तेमाल करने के लिए बदला गया था? बाद में जिस automation का जिक्र है, वह task-assistance use case के तौर पर ज्यादा समझ में आता है
Tesla और SpaceX के CEO, जो खुद को high IQ वाला बताते हैं और programmer के रूप में जाने जाते हैं, लगता है कि उन्होंने government technology को downsize करने वाली elite Delta Force के लिए असल में एक script kiddie को hire कर लिया
हालांकि बाद में SpaceX के शुरुआती दिनों में Musk को सक्षम और resourceful leader बताने वाली बातें सुनकर हैरानी हुई। हो सकता है यह personality cult का नतीजा रहा हो, लेकिन यह plausible भी लगा। उस समय लगता था कि वह खुद को top engineer की तरह perform नहीं कर रहे थे, बल्कि engineering manager की जगह समझते थे। वह ऐसे अच्छे manager जैसे हो सकते थे जो code नहीं लिख पाते, फिर भी software को अच्छी तरह समझते हैं और जानते हैं कि कब खुद coding करनी है और कब design के जरिए आगे बढ़ाना है
आखिरकार fame एक powerful drug जैसी है। मुझे नहीं लगता कि Musk खास तौर पर “high-IQ” थे, और उनकी पहली शादी देखकर भी लगता है कि वे हमेशा से misogynistic loser थे, लेकिन “real-life Tony Stark” के रूप में पूजे जाने ने जैसे उनका दिमाग खराब कर दिया। ketamine भी इसमें मदद नहीं करेगा
ऐसे लोग अपनी imagination के “best of the best” लोगों को खोजकर अपने आसपास रखते हैं, और उस belief को challenge न होना उनके ego के लिए बहुत जरूरी हो जाता है। वे contrary evidence के प्रति अंधे हो जाते हैं, और जिन लोगों को उन्होंने “discover” किया है, उनका extraordinary होना जरूरी हो जाता है ताकि उनकी talent-spotting ability justify हो सके
यहां भी कुछ वैसा ही होता दिख रहा है। Elon के आसपास के लोग बहुत exceptional नहीं लगते और उनकी competence भी बहुत संदिग्ध है, लेकिन अपनी myth को सहारा देने के लिए उसे “Super Coders” harem चाहिए
message यह है कि कुछ ordinary computer science major युवक, जो rental car भी नहीं ले सकते, केवल government departments की सबसे basic financial information review करके भी billions of dollars बचा सकते हैं। यानी ये लोग “Delta Force” नहीं, interns होने चाहिए
मैं ends justify the means की वकालत नहीं कर रहा, लेकिन चाहता हूं कि tax money ज्यादा efficiently खर्च हो। साथ ही, इन्हें दिया गया access level बेहद चिंताजनक है, और व्यावहारिक रूप से कोई accountability भी नहीं है
Marko कौन है इसे ignore भी कर दें, तो भी अजीब है कि कोई random व्यक्ति repository में इस तरह का public call-out क्यों डालेगा। मैंने कभी किसी random repository को देखकर अचानक attack करने की इच्छा महसूस नहीं की, और वह criticism भी AI-generated जैसा लगता है
quoted link: https://github.com/markoelez/async-ip-rotator/issues/1
बाद की comments भी काफी अजीब interaction हैं, जिन्हें coincidence मानना मुश्किल है
उस घटना की वजह से संभव है कि किसी को यह जानने की curiosity हुई हो कि उनकी actual coding skill कैसी है, और उसने उनके बनाए repositories देखे हों। इसके बाद Musk ने X पर यह “poll” किया कि Elez को DOGE में फिर से hire किया जाए या नहीं, और 20 फरवरी को Elez के पास फिर से US government email address था; 21 फरवरी को report हुआ कि वे Social Security Administration में DOGE का काम कर रहे थे
इन packages को GitHub पर public छोड़कर रखना अपने-आप में अजीब है। क्या इन्हें private बनाया जा सकता है, यह नहीं जानते, या सच कहें तो यह दिखाता है कि ये लोग कितने मूर्ख हैं
इस प्रशासन द्वारा दी गई माफ़ियों की सूची देख लें। इन पर अभियोग तक नहीं लगेगा
इस मामले में किसी न किसी को जेल जाना चाहिए। यह कोई साधारण गलतफहमी नहीं, बल्कि सभी अमेरिकी नागरिकों पर जानबूझकर किया गया हमला है
जिस deep state से वे डरते थे, वही यह है, और उन्हें कुचलने वाला बूट भी यही है
संपादन: parent comment इस article में सबसे ऊपर ranked था, लेकिन अब सबसे नीचे है?
अगर अगली Congress और administration को इसे साफ़ करने से रोकने का साधन माफ़ी नहीं है, तो उसका विकल्प सोचने में बहुत ही अंधकारमय है
सरकार के databases तक ऐसे तरीके से पूरी access मिलना जिसे trace न किया जा सके—इसके ripple effects की कल्पना करना भी कठिन है
बस उम्मीद है कि लोगों के गंभीरता से लेने लायक पर्याप्त आधार हो। ऐसे कितने मामले बाकी हैं जिनके public होने की संभावना है, यह पाठक पर छोड़ता हूं
ठीक-ठीक दावा क्या है, समझ नहीं आ रहा। क्या यह कि DOGE के लोगों ने GitHub का “hacker” code लिखा/इस्तेमाल किया और NLRB data की security restrictions को bypass किया? अगर system में पहले से superuser account था, तो उन्हें ऐसा करने की जरूरत क्यों पड़ी, यह सवाल है
disclosure document पढ़ने की सलाह दूंगा: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...