3 puntos por GN⁺ 2025-02-15 | 1 comentarios | Compartir por WhatsApp
  • Se confirmó que doge.gov, que rastrea el estado de los recortes del gobierno federal impulsados por Elon Musk, obtiene datos de una base de datos que puede ser modificada por personas externas
  • Las dos personas que descubrieron la vulnerabilidad compartieron con 404 Media que es posible realizar operaciones de escritura de terceros y que el contenido ingresado aparece en el sitio web real
  • Un coder agregó al menos 2 entradas a la base de datos visibles en el sitio en vivo, con frases que se burlan del sitio .gov y señalan que la base de datos estaba abierta
  • El sitio fue desplegado de prisa después de que Musk dijera que publicaría la actividad de DOGE en la cuenta @DOGE de X y en el sitio web de DOGE; luego se agregaron un espejo de publicaciones y estadísticas de personal federal
  • Dos expertos en desarrollo web anónimos consideran que doge.gov parece estar construido sobre Cloudflare Pages, no en servidores del gobierno, y que el código que se ejecuta realmente también se despliega allí

Base de datos de doge.gov modificable por personas externas

  • doge.gov es un sitio web creado para rastrear las actividades de recorte del gobierno federal de Elon Musk
  • Las dos personas que descubrieron la vulnerabilidad compartieron con 404 Media que este sitio obtiene datos de una base de datos que cualquiera puede modificar
  • Se confirmó una estructura en la que, si una persona externa escribe una entrada en la base de datos, esa entrada aparece en el sitio web en vivo

Entradas insertadas que aparecieron en el sitio real

  • Un coder agregó al menos 2 entradas a la base de datos, y esas entradas eran visibles en el sitio real de doge.gov
    • “this is a joke of a .gov site”
    • “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
  • Ambas entradas fueron tratadas como elementos que se muestran en la página workforce de doge.gov

El sitio web de DOGE se amplió de prisa

  • doge.gov fue desplegado de prisa después de que Elon Musk dijera a periodistas que el Department of Government Efficiency intentaba ser “lo más transparente posible”
  • Musk dijo que publicaría las acciones de DOGE en el handle DOGE de X y en el sitio web de DOGE
  • En ese momento, el sitio web de DOGE era prácticamente una página vacía
  • Luego, entre miércoles y jueves, el sitio se desarrolló más y se agregaron las siguientes funciones
    • Espejo de publicaciones de la cuenta @DOGE de X
    • Varias estadísticas relacionadas con la fuerza laboral del gobierno federal de Estados Unidos

Indicios de despliegue basado en Cloudflare Pages

  • Dos expertos en desarrollo web que pidieron anonimato consideran que doge.gov parece estar construido sobre un sitio de Cloudflare Pages
  • Pidieron anonimato porque estaban revisando sitios web federales
  • Ambos dijeron que doge.gov actualmente no parece estar alojado en servidores del gobierno
  • Terceros pueden escribir en la base de datos de la que obtiene datos el sitio, y contenido escrito por terceros ya aparece en el sitio web real
  • Las dos fuentes confirmaron que doge.gov obtiene datos desde un sitio web de Cloudflare Pages donde está desplegado el código que realmente se ejecuta

1 comentarios

 
GN⁺ 2025-02-15
Opiniones en Hacker News
  • https://archive.ph/wy1Wt

  • U.S. Digital Service (USDS) ya tenía desde mucho antes experiencia en crear y desplegar sitios web estáticos para el gobierno federal, incluso antes de ser absorbido por DOGE, y hacía público todo el proceso.
    En unos minutos se puede clonar todo usds.gov hecho con Jekyll (2,700 recursos y documentos, 150 MB) y volver a desplegarlo localmente o en S3; también dejaron escritas todas las instrucciones de despliegue: https://github.com/usds/website

    • Hace tiempo conocí a USDS por Hacker News y siempre me pareció impresionante. Si alguien hubiera querido crear “DOGE” con buenas intenciones, es decir, no destruir el gobierno sino hacerlo más eficiente, creo que se habría visto como ampliar la autoridad y el alcance de una organización como USDS.
    • Que exista un procedimiento operativo estándar (SOP) para contenido estático me parece bastante bueno.
      Uso varios SOP todos los días, y el principio es que, aunque solo recuerdes el nombre y olvides todo lo demás, deberías poder encontrar el documento y volver a aprenderlo para obtener casi el mismo resultado. Incluso en documentos soviéticos de los años 50 se pueden encontrar cosas parecidas a un SOP moderno, pero documentos de la Marina de EE. UU. como el SOP para doblar ropa o el SOP para duchas militares son especialmente prácticos.
    • ¿Están desplegando un sitio del gobierno federal, objetivo de actores estatales, ejecutando tal cual scripts de shell desde la web pública?
      El Dockerfile tiene curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.sh.
    • Se ven los cambios recientes, pero me pregunto si también se pueden consultar timestamps anteriores para fines de archivo.
  • Quiero hablar del hackeo en sí. ¿Hay alguien que pueda dar una explicación más detallada que “dejaron abierta la base de datos”? Vine aquí para ver bien esa parte, pero todavía no aparece.

    • Alguien desminificó el JavaScript, y resultó que varios endpoints REST dentro de él eran endpoints CRUD sin validación para el sitio.
      https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
    • Según mi fuente, había endpoints de API inseguros que podían modificarse.
    • Con decir que “un tercero podía escribir en la base de datos que lee el sitio, y ese contenido se mostraba en el sitio en vivo” no hay suficiente información para afirmarlo con certeza.
      Podría haber sido inyección SQL, o podrían haberse expuesto credenciales en el frontend.
    • Mi voto va por inyección SQL.
    • El artículo está detrás de un muro de pago, pero en realidad suena como si el asunto se limitara al feed de Twitter que se muestra en el sitio.
      Básicamente, el sitio estaba alojado en Cloudflare, y parece que se podían insertar tuits falsos en el contenido registrado en el sitio, no en el feed real de Twitter de DOGE. No parece que se hayan filtrado datos reales.
  • Irónicamente, el registro WHOIS apunta a CISA, es decir, la Cybersecurity and Infrastructure Security Agency. Eso inspira bastante confianza.

  • El sitio de ahorros decía que mostraría recibos para el Día de San Valentín.
    https://www.doge.gov/savings
    Ahora dice “¡recibos previstos para el fin de semana!”. Lo siguiente será “el sitio está listo para los recibos”.

    • ¿Lo dicen como otras promesas de Musk, tipo FSD?
    • Parece que empezaron a subir algunos datos. No sé qué es FPDS, pero todos los documentos parecen renderizados con el tema Aqua de OSX.
      Muchos recortes al principio parecen “tener sentido”, pero la cosa cambia cuando te enteras de que “recortar suscripciones a revistas” en realidad significa “cortar fuentes de noticias financieras en la Consumer Financial Protection Bureau” o “no renovar suscripciones a noticias confiables para personas que realmente necesitan entender la actualidad”.
      También hay muchos recortes a DEI/capacitación en diversidad, y esto se siente menos como una guerra contra “tratar realmente bien a la gente” y más como un ataque a los grupos a los que esa capacitación ayuda a los empleados a servir mejor. Si se habla de recortar DEI en SNAP, según datos atribuidos al USDA hay cinco grupos étnicos y “raza desconocida” inscritos en SNAP. Basta imaginar cómo capacitarías a alguien para entender, interactuar y ayudar a personas de diversos orígenes étnicos que necesitan este tipo de apoyo.
      La empatía y la comprensión son habilidades muy valiosas en estos roles, y considero que DEI brinda esa capacitación a todas las partes involucradas. La idea convencional de la derecha es que DEI es racista y anti-blancos, pero deja fuera la posibilidad de que las personas no blancas también puedan necesitar esta capacitación. DEI consiste en entender las diferencias, pero la derecha parece leerlo como “entender a los no blancos” y molestarse ante el hecho mismo de tener que pensar en otras culturas.
      Otro recorte fue al presupuesto de capacitación de género, y esa capacitación era para una oficina relacionada con tecnología e ingeniería. Esos campos han sido notoriamente dominados por hombres durante mucho tiempo, así que se entiende que esa capacitación sea útil. Por lo que he oído sobre cómo la gente habla y actúa con mujeres y personas queer en la industria tecnológica, creo que la capacitación es necesaria.
      Estos programas no buscan adoctrinar a la gente sobre qué pensar. Si alguien no puede interactuar con el mundo de manera empática, una capacitación laboral no va a cambiar eso. Pero sí puede enseñar cómo interactuar y trabajar de forma productiva en un entorno profesional. En una empresa es para ganar más dinero; en el gobierno, para ayudar a más personas. Eso incluye tanto a los empleados como a las comunidades que reciben los servicios.
      Al final, Trump está haciendo lo que dijo que haría, y los detalles son sombríos.
  • Moverse rápido y romper cosas, versión gobierno

  • Parece que DOGE encaja mejor que Twitter con “Vox Populi, Vox Dei

  • Con amigos así, ¿quién necesita enemigos?

  • Quizá haya que despedir a esos chicos y reemplazarlos por ingenieros de verdad
    Como algunos de ellos seguramente leen Hacker News, un consejo: dejen ChatGPT y aprendan bien lo que están haciendo

    • Un ingeniero de verdad querría una remuneración y horarios razonables, y tampoco confundiría a su jefe con un dios viviente
      Incluso podría tener confianza en sí mismo y moral, lo que aparentemente sería motivo de descalificación total
    • El hecho de que todos sean tan jóvenes explica por qué ni siquiera pude conseguir una entrevista. A los 28 ya era demasiado viejo para trabajar ahí
    • No son profesionales serios, son ideólogos
    • La persona que necesitan tendría que cumplir tres condiciones: ser un buen ingeniero con experiencia, no tener ética y estar conforme con una paga por debajo del valor de mercado de un buen ingeniero con experiencia y sin ética
  • ¿No ven lo que realmente está pasando aquí? Ponerle a una “agencia gubernamental” un nombre sacado de una moneda meme, e interrumpir al presidente mientras está sentado de verdad en el Despacho Oval, con una gorra puesta
    Elon está intentando mandar la señal de que no tiene respeto por las instituciones de nuestro país. ¿Por qué Trump habría hecho algo tan insignificante como cambiarle el nombre solo a México? Es una prueba de fuego para ver quién se somete a la exhibición de poder más absurda. Hoy se puso en práctica cuando a AP le prohibieron el acceso al Despacho Oval y al AF1 por no arrodillarse ante ese asunto. Esto es mucho más oscuro que Elon simplemente descontrolado

    • Exacto. Esto es un golpe fascista de neonazis
    • Esto es mucho, muchísimo peor que el 11-S
      Quizá simplemente todavía no se derrumbó la primera torre, y uno podría pensar que la bola de fuego ya desapareció y que los bomberos están subiendo las escaleras, así que pronto habrá rescate. Pero bajo la superficie el fuego está al rojo blanco, y el acero se calienta y se ablanda más cada minuto
      No hace falta buscar mucho para encontrar ejemplos de cambios muy pequeños hechos por administraciones anteriores que tuvieron consecuencias enormes e inesperadas. Nos estamos cocinando por completo
    • Exacto. Inventan algo absurdo, lo llaman oficial y, si no lo sigues, te prohíben por difundir mentiras. Dictadura 101
    • El espíritu emprendedor de Estados Unidos alimentó la paranoia y ahora quiere venganza
      Implementarán políticas proteccionistas, impulsarán recortes de gasto antes que una reforma tributaria y, después de mostrar “esto es lo que ahorramos”, esperarán que el mercado suba mientras liquidan portafolios de cientos de miles de millones de dólares y se retiran a una isla
      Al menos esa es la teoría. Estados Unidos parece no querer admitir que el CCP tiene en sus manos la capacidad industrial estadounidense y que, con planificación central, puede desplazar a voluntad el mercado estadounidense de vehículos eléctricos o el tonelaje naval. Se asume que la desregulación por fin será la panacea para los problemas de Estados Unidos, pero no se puede perseguir eso de manera coherente con la política comercial mundial. No se puede sancionar a la ICC y al mismo tiempo exigir a otros países que extraditen criminales a Estados Unidos, ni abandonar el Human Rights Council y al mismo tiempo exigir a otros países que respeten nuestra autoridad moral
      Los próximos cuatro años serán el periodo en que el mundo civilizado volverá a demostrar que puede arreglárselas sin Estados Unidos. Trump adulará a dictadores extranjeros, y los demás se quedarán pataleando mientras esperan otra elección primaria. El estancamiento al estilo de 2016 es el mejor escenario posible, y lo afortunado es que los principales enemigos de Estados Unidos también la están pasando bastante mal ahora. Si Trump hubiera ocupado este lugar en tiempos de Nixon o Reagan, Estados Unidos habría perdido la partida