El sitio doge.gov que cualquiera puede actualizar
(404media.co)- Se confirmó que doge.gov, que rastrea el estado de los recortes del gobierno federal impulsados por Elon Musk, obtiene datos de una base de datos que puede ser modificada por personas externas
- Las dos personas que descubrieron la vulnerabilidad compartieron con 404 Media que es posible realizar operaciones de escritura de terceros y que el contenido ingresado aparece en el sitio web real
- Un coder agregó al menos 2 entradas a la base de datos visibles en el sitio en vivo, con frases que se burlan del sitio .gov y señalan que la base de datos estaba abierta
- El sitio fue desplegado de prisa después de que Musk dijera que publicaría la actividad de DOGE en la cuenta @DOGE de X y en el sitio web de DOGE; luego se agregaron un espejo de publicaciones y estadísticas de personal federal
- Dos expertos en desarrollo web anónimos consideran que doge.gov parece estar construido sobre Cloudflare Pages, no en servidores del gobierno, y que el código que se ejecuta realmente también se despliega allí
Base de datos de doge.gov modificable por personas externas
- doge.gov es un sitio web creado para rastrear las actividades de recorte del gobierno federal de Elon Musk
- Las dos personas que descubrieron la vulnerabilidad compartieron con 404 Media que este sitio obtiene datos de una base de datos que cualquiera puede modificar
- Se confirmó una estructura en la que, si una persona externa escribe una entrada en la base de datos, esa entrada aparece en el sitio web en vivo
Entradas insertadas que aparecieron en el sitio real
- Un coder agregó al menos 2 entradas a la base de datos, y esas entradas eran visibles en el sitio real de doge.gov
- “this is a joke of a .gov site”
- “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
- Ambas entradas fueron tratadas como elementos que se muestran en la página workforce de doge.gov
El sitio web de DOGE se amplió de prisa
- doge.gov fue desplegado de prisa después de que Elon Musk dijera a periodistas que el Department of Government Efficiency intentaba ser “lo más transparente posible”
- Musk dijo que publicaría las acciones de DOGE en el handle DOGE de X y en el sitio web de DOGE
- En ese momento, el sitio web de DOGE era prácticamente una página vacía
- Luego, entre miércoles y jueves, el sitio se desarrolló más y se agregaron las siguientes funciones
- Espejo de publicaciones de la cuenta @DOGE de X
- Varias estadísticas relacionadas con la fuerza laboral del gobierno federal de Estados Unidos
Indicios de despliegue basado en Cloudflare Pages
- Dos expertos en desarrollo web que pidieron anonimato consideran que doge.gov parece estar construido sobre un sitio de Cloudflare Pages
- Pidieron anonimato porque estaban revisando sitios web federales
- Ambos dijeron que doge.gov actualmente no parece estar alojado en servidores del gobierno
- Terceros pueden escribir en la base de datos de la que obtiene datos el sitio, y contenido escrito por terceros ya aparece en el sitio web real
- Las dos fuentes confirmaron que doge.gov obtiene datos desde un sitio web de Cloudflare Pages donde está desplegado el código que realmente se ejecuta
1 comentarios
Opiniones en Hacker News
https://archive.ph/wy1Wt
U.S. Digital Service (USDS) ya tenía desde mucho antes experiencia en crear y desplegar sitios web estáticos para el gobierno federal, incluso antes de ser absorbido por DOGE, y hacía público todo el proceso.
En unos minutos se puede clonar todo usds.gov hecho con Jekyll (2,700 recursos y documentos, 150 MB) y volver a desplegarlo localmente o en S3; también dejaron escritas todas las instrucciones de despliegue: https://github.com/usds/website
Uso varios SOP todos los días, y el principio es que, aunque solo recuerdes el nombre y olvides todo lo demás, deberías poder encontrar el documento y volver a aprenderlo para obtener casi el mismo resultado. Incluso en documentos soviéticos de los años 50 se pueden encontrar cosas parecidas a un SOP moderno, pero documentos de la Marina de EE. UU. como el SOP para doblar ropa o el SOP para duchas militares son especialmente prácticos.
El Dockerfile tiene
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.sh.Quiero hablar del hackeo en sí. ¿Hay alguien que pueda dar una explicación más detallada que “dejaron abierta la base de datos”? Vine aquí para ver bien esa parte, pero todavía no aparece.
https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
Podría haber sido inyección SQL, o podrían haberse expuesto credenciales en el frontend.
Básicamente, el sitio estaba alojado en Cloudflare, y parece que se podían insertar tuits falsos en el contenido registrado en el sitio, no en el feed real de Twitter de DOGE. No parece que se hayan filtrado datos reales.
Irónicamente, el registro WHOIS apunta a CISA, es decir, la Cybersecurity and Infrastructure Security Agency. Eso inspira bastante confianza.
El sitio de ahorros decía que mostraría recibos para el Día de San Valentín.
https://www.doge.gov/savings
Ahora dice “¡recibos previstos para el fin de semana!”. Lo siguiente será “el sitio está listo para los recibos”.
Muchos recortes al principio parecen “tener sentido”, pero la cosa cambia cuando te enteras de que “recortar suscripciones a revistas” en realidad significa “cortar fuentes de noticias financieras en la Consumer Financial Protection Bureau” o “no renovar suscripciones a noticias confiables para personas que realmente necesitan entender la actualidad”.
También hay muchos recortes a DEI/capacitación en diversidad, y esto se siente menos como una guerra contra “tratar realmente bien a la gente” y más como un ataque a los grupos a los que esa capacitación ayuda a los empleados a servir mejor. Si se habla de recortar DEI en SNAP, según datos atribuidos al USDA hay cinco grupos étnicos y “raza desconocida” inscritos en SNAP. Basta imaginar cómo capacitarías a alguien para entender, interactuar y ayudar a personas de diversos orígenes étnicos que necesitan este tipo de apoyo.
La empatía y la comprensión son habilidades muy valiosas en estos roles, y considero que DEI brinda esa capacitación a todas las partes involucradas. La idea convencional de la derecha es que DEI es racista y anti-blancos, pero deja fuera la posibilidad de que las personas no blancas también puedan necesitar esta capacitación. DEI consiste en entender las diferencias, pero la derecha parece leerlo como “entender a los no blancos” y molestarse ante el hecho mismo de tener que pensar en otras culturas.
Otro recorte fue al presupuesto de capacitación de género, y esa capacitación era para una oficina relacionada con tecnología e ingeniería. Esos campos han sido notoriamente dominados por hombres durante mucho tiempo, así que se entiende que esa capacitación sea útil. Por lo que he oído sobre cómo la gente habla y actúa con mujeres y personas queer en la industria tecnológica, creo que la capacitación es necesaria.
Estos programas no buscan adoctrinar a la gente sobre qué pensar. Si alguien no puede interactuar con el mundo de manera empática, una capacitación laboral no va a cambiar eso. Pero sí puede enseñar cómo interactuar y trabajar de forma productiva en un entorno profesional. En una empresa es para ganar más dinero; en el gobierno, para ayudar a más personas. Eso incluye tanto a los empleados como a las comunidades que reciben los servicios.
Al final, Trump está haciendo lo que dijo que haría, y los detalles son sombríos.
Moverse rápido y romper cosas, versión gobierno
Parece que DOGE encaja mejor que Twitter con “Vox Populi, Vox Dei”
Con amigos así, ¿quién necesita enemigos?
Quizá haya que despedir a esos chicos y reemplazarlos por ingenieros de verdad
Como algunos de ellos seguramente leen Hacker News, un consejo: dejen ChatGPT y aprendan bien lo que están haciendo
Incluso podría tener confianza en sí mismo y moral, lo que aparentemente sería motivo de descalificación total
¿No ven lo que realmente está pasando aquí? Ponerle a una “agencia gubernamental” un nombre sacado de una moneda meme, e interrumpir al presidente mientras está sentado de verdad en el Despacho Oval, con una gorra puesta
Elon está intentando mandar la señal de que no tiene respeto por las instituciones de nuestro país. ¿Por qué Trump habría hecho algo tan insignificante como cambiarle el nombre solo a México? Es una prueba de fuego para ver quién se somete a la exhibición de poder más absurda. Hoy se puso en práctica cuando a AP le prohibieron el acceso al Despacho Oval y al AF1 por no arrodillarse ante ese asunto. Esto es mucho más oscuro que Elon simplemente descontrolado
Quizá simplemente todavía no se derrumbó la primera torre, y uno podría pensar que la bola de fuego ya desapareció y que los bomberos están subiendo las escaleras, así que pronto habrá rescate. Pero bajo la superficie el fuego está al rojo blanco, y el acero se calienta y se ablanda más cada minuto
No hace falta buscar mucho para encontrar ejemplos de cambios muy pequeños hechos por administraciones anteriores que tuvieron consecuencias enormes e inesperadas. Nos estamos cocinando por completo
Implementarán políticas proteccionistas, impulsarán recortes de gasto antes que una reforma tributaria y, después de mostrar “esto es lo que ahorramos”, esperarán que el mercado suba mientras liquidan portafolios de cientos de miles de millones de dólares y se retiran a una isla
Al menos esa es la teoría. Estados Unidos parece no querer admitir que el CCP tiene en sus manos la capacidad industrial estadounidense y que, con planificación central, puede desplazar a voluntad el mercado estadounidense de vehículos eléctricos o el tonelaje naval. Se asume que la desregulación por fin será la panacea para los problemas de Estados Unidos, pero no se puede perseguir eso de manera coherente con la política comercial mundial. No se puede sancionar a la ICC y al mismo tiempo exigir a otros países que extraditen criminales a Estados Unidos, ni abandonar el Human Rights Council y al mismo tiempo exigir a otros países que respeten nuestra autoridad moral
Los próximos cuatro años serán el periodo en que el mundo civilizado volverá a demostrar que puede arreglárselas sin Estados Unidos. Trump adulará a dictadores extranjeros, y los demás se quedarán pataleando mientras esperan otra elección primaria. El estancamiento al estilo de 2016 es el mejor escenario posible, y lo afortunado es que los principales enemigos de Estados Unidos también la están pasando bastante mal ahora. Si Trump hubiera ocupado este lugar en tiempos de Nixon o Reagan, Estados Unidos habría perdido la partida