2 puntos por GN⁺ 2025-04-24 | 1 comentarios | Compartir por WhatsApp
  • Daniel J. Berulis, arquitecto de seguridad de la NLRB, afirmó que una cuenta de DOGE extrajo más de 10 GB de datos de archivos sensibles de casos a principios de marzo, y se confirmó que uno de los paquetes de código de GitHub descargados era muy similar al código de Marko Elez, empleado de DOGE
  • Berulis afirmó que las cuentas creadas para DOGE tenían permisos de tenant admin y que se les pidió excluirlas del registro de red; según él, tenían un nivel de acceso que permitía acceder, copiar y modificar datos, además de limitar la visibilidad de los logs
  • La descripción del código en cuestión habla de crear “pseudo-infinite IPs” usando un gran pool de IP de AWS API Gateway para web scraping y fuerza bruta; está vinculada con requests-ip-rotator en GitHub y con async-ip-rotator, que Elez hizo fork en enero de 2025
  • El archivo de GitHub descargado junto con ese código también incluía Integuru, una herramienta para ingeniería inversa de APIs de sitios web, y Browserless, un navegador headless para automatizar tareas web, todos relacionados con scraping y automatización
  • Los archivos de casos de la NLRB contienen información sobre empleados que buscan formar sindicatos y documentos propietarios de empresas, por lo que Berulis teme que, si estos datos llegan a compañías, podrían dar a la parte demandada una ventaja injusta en disputas laborales en curso

Afirmaciones del denunciante de la NLRB

  • Daniel J. Berulis, arquitecto de seguridad de la NLRB, afirmó que personal vinculado a DOGE extrajo gigabytes de datos de archivos sensibles de casos de la agencia a principios de marzo
  • Según la denuncia de Berulis, el 3 de marzo representantes de DOGE se reunieron con la dirección de la NLRB y exigieron la creación de varias cuentas tenant admin con amplios privilegios
    • Se pidió que estas cuentas quedaran excluidas del registro de red, que normalmente deja registros detallados de actividad
    • Según la denuncia, las nuevas cuentas de DOGE tenían permisos irrestrictos para leer, copiar y modificar información en las bases de datos de la NLRB
    • También habrían tenido permisos para limitar la visibilidad de los logs, retrasar su retención, redirigirlos a otro lugar o eliminarlos por completo
  • Berulis afirma que a las cuentas de DOGE se les otorgaron privilegios de usuario de máximo nivel que ni él ni su superior tenían

Descarga de código de GitHub y herramientas de rotación de IP

  • Berulis dice que descubrió que una de las cuentas de DOGE descargó tres bibliotecas externas de código de GitHub que ni la NLRB ni sus contratistas habían usado antes
  • El README de uno de esos paquetes de código explica que usa como proxy el gran pool de IP de AWS API Gateway para crear “pseudo-infinite IPs” para web scraping y fuerza bruta
  • Al buscar la misma frase descriptiva aparece el repositorio requests-ip-rotator, del usuario de GitHub Ge0rg3, una biblioteca que se presenta como capaz de eludir límites de solicitudes basados en IP
  • Esa descripción indica que es una “biblioteca de Python que aprovecha el large IP pool de AWS API Gateway como proxy para generar pseudo-infinite IPs para web scraping y bruteforcing”
  • El código de Ge0rg3 se presenta como código open source que cualquiera puede copiar y reutilizar con fines no comerciales

Conexión con async-ip-rotator de Marko Elez

  • Existe un nuevo proyecto derivado de requests-ip-rotator de Ge0rg3 llamado async-ip-rotator, al que Marko Elez, empleado de DOGE, hizo commits en GitHub en enero de 2025
  • El texto del README del archivo de GitHub que, según el denunciante, descargó el usuario de DOGE comparte la misma descripción que el código basado en el fork de Elez
  • Elez es presentado como una de las principales personas de DOGE que accedió al sistema central de pagos del Treasury Department
    • Tiene antecedentes laborales en varias empresas de Musk, incluidas X, SpaceX y xAI
    • The Wall Street Journal vinculó a Elez con publicaciones en redes sociales que defendían el racismo y la eugenesia
    • Elez renunció tras la controversia, pero fue recontratado después del apoyo del presidente Donald Trump y del vicepresidente JD Vance
  • Según Politico, Elez actualmente es asesor del Labor Department y ha sido asignado a varias agencias, entre ellas el Department of Health and Human Services
  • Politico informó, citando documentos judiciales, que Elez violó políticas de seguridad de la información al enviar, durante sus primeros días en el Treasury, una hoja de cálculo con nombres e información de pagos a funcionarios de la General Services Administration

Otras herramientas descargadas junto con el código

  • Berulis identificó Integuru y Browserless como los otros dos archivos de GitHub que empleados de DOGE descargaron en los sistemas de la NLRB
  • Integuru es un framework de software diseñado para hacer ingeniería inversa de las interfaces de programación de aplicaciones (API) que usan los sitios web para obtener datos
  • Browserless es un navegador headless para automatizar tareas basadas en la web
    • Web scraping
    • Pruebas automatizadas
    • Tareas que pueden requerir pools de múltiples navegadores

Críticas a la calidad del código y eliminación del repositorio

  • El 6 de febrero, alguien publicó una larga crítica en la página de issues de GitHub de async-ip-rotator de Elez y calificó el código como “insecure, unscalable and a fundamental engineering failure”
  • La crítica señaló que, si este código era solo un proyecto paralelo, se quedaba en mal código, pero que si una implementación similar se había desplegado en un entorno que maneja datos sensibles, debía auditarse de inmediato
  • Después de la publicación del artículo, el repositorio de código de Elez fue eliminado
  • Una versión archivada del repositorio eliminado permanece disponible aquí

Sensibilidad de los datos de la NLRB e impacto en disputas laborales

  • La denuncia de Berulis afirma que una cuenta de DOGE descargó más de 10 GB de la base de datos de archivos de casos de la NLRB
  • Esta base de datos contiene numerosos registros sensibles, incluida información relacionada con empleados que buscan formar sindicatos y documentos empresariales propietarios de compañías
  • Berulis dice que decidió hacerlo público porque sus superiores le dijeron que no reportara el asunto a US-CERT, en contra de un acuerdo previo
  • A Berulis le preocupa que, si la transferencia no autorizada de datos es real, podría dar a los demandados una ventaja injusta en varias disputas laborales pendientes ante la NLRB
    • Dice que cualquier compañía que obtuviera datos de casos tendría una ventaja injusta
    • Dice que las empresas podrían identificar a empleados y organizadores sindicales y despedirlos sin explicar el motivo

Situación legal alrededor de la NLRB

  • La NLRB quedó efectivamente limitada después de que el presidente Trump destituyera a tres miembros de su junta, lo que le hizo perder el quorum necesario para funcionar
  • Amazon y SpaceX, de Musk, mantienen demandas contra la NLRB por complaints presentadas por la agencia en disputas relacionadas con derechos laborales y organización sindical
  • Ambas compañías sostienen, en esencia, que la existencia misma de la NLRB es inconstitucional
  • El 5 de marzo, una corte de apelaciones de EE. UU. rechazó por unanimidad el argumento de Musk de que la estructura de la NLRB viola la Constitución
  • KrebsOnSecurity solicitó comentarios tanto a la NLRB como a DOGE y dijo que actualizará la nota si recibe respuesta

1 comentarios

 
GN⁺ 2025-04-24
Opiniones de Hacker News
  • El código de Ge0rg3 era open source en el sentido de que cualquiera podía copiarlo y reutilizarlo con fines no comerciales, y “async-ip-rotator”, subido a GitHub en enero de 2025 por Marko Elez de DOGE, parece ser un fork derivado de ese código.
    Código original: https://github.com/Ge0rg3/requests-ip-rotator
    Fork: https://github.com/markoelez/async-ip-rotator
    El código es casi igual; básicamente le quitaron los comentarios, le espolvorearon un poco de async y le hicieron cambios menores, así que parece que lo pegaron en un LLM y le pidieron que lo convirtiera en asíncrono. Pero desapareció la licencia GPL3 original, algo que no parece que la gente de DOGE vaya a entender ni respetar.

    • El repositorio fue eliminado, y también desaparecieron otros 26 repositorios de la cuenta. Parece encajar con el patrón de que los integrantes de DOGE borran datos rápidamente cuando llaman la atención, y ya se vio algo parecido en otros casos anteriores de “hackers adolescentes”.
      Página archivada del repositorio: https://archive.ph/LI7tt; copia archivada del conteo anterior de repositorios: https://archive.ph/tgkg5
      0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
    • El 6 de febrero, alguien escribió en un issue de GitHub de async-ip-rotator una crítica larga y detallada al código de Elez, calificándolo de “inseguro, imposible de escalar y un fracaso de ingeniería fundamental”.
      Decía algo como: “si fuera un side project, solo sería mal código; pero si esta es la forma en que se construyen sistemas de producción, hay motivos mucho más serios de preocupación. Esta implementación está fundamentalmente rota, y si se desplegó algo parecido en un entorno que maneja datos sensibles, debería auditarse de inmediato”.
    • Parece que el fork acaba de ser ocultado o eliminado. Me pregunto si alguien lo clonó antes de que desapareciera.
    • GPLv3 exige conservar la licencia, así que parece que se podría reportar al dueño del repositorio original o a GitHub.
    • La parte de haberlo subido a GitHub es ambigua. Donde hay que conservar la licencia GPL3 es al redistribuir, pero no está claro si ponerlo en un repositorio de GitHub cuenta, al menos moralmente, como redistribución.
      Borrar la licencia en una copia personal es totalmente posible bajo los términos de la licencia, y subirla a un repositorio privado de GitHub tampoco tiene problema. Pero si lo subió a un repositorio público sin intención de distribuirlo, quizá por restricciones como las de repositorios privados gratuitos, ahí la cosa se vuelve ambigua.
  • Esta parte de la denuncia interna parece mucho más grave.
    Alrededor del 11 de marzo de 2025, las métricas de NxGen mostraron uso anómalo en un momento específico de la semana anterior, con tiempos de respuesta muy por encima de la línea base y un aumento de salida de red más alto que en cualquier momento anterior. Eso casi coincidió con un evento de exfiltración de datos, y también aumentaron los inicios de sesión desde el extranjero bloqueados por la política de acceso.
    Por ejemplo, pocos días después de que DOGE accediera a los sistemas de la NLRB, un usuario con una dirección IP de Primorskiy Krai, Rusia, empezó a intentar iniciar sesión. Los intentos fueron bloqueados, pero resultaban especialmente preocupantes. En esos inicios se usó una de las cuentas nuevas utilizadas en la actividad relacionada con DOGE, y como el flujo de autenticación solo se detuvo por la política de bloqueo de inicios de sesión desde el extranjero, parece que tenían el nombre de usuario y la contraseña correctos. Hubo más de 20 intentos de este tipo, y es especialmente preocupante que muchos ocurrieran dentro de los 15 minutos posteriores a que los ingenieros de DOGE crearan las cuentas.

    • La interpretación más benigna sería que alguien del lado ruso instaló un keylogger en la PC de DOGE y que DOGE trabajó desde una red pública insegura.
      La peor interpretación es más simple: que estaban trabajando como agentes de Rusia y dejaron entrar a Rusia, o instalaron el keylogger para Rusia.
    • El artículo debería haber resumido este hallazgo central, en lugar del párrafo casi irrelevante del final sobre que el software de scraping encontrado en GitHub estaba mal escrito.
      Es evidencia que sugiere con fuerza que personal de DOGE estaba haciendo scraping usando varias direcciones IP de cloud.
    • Me pregunto por qué el bloqueo de “prohibir inicios de sesión desde el extranjero” ocurre recién después de verificar las credenciales de inicio de sesión. Lo más razonable parecería ser bloquear antes.
    • Si realmente eran rusos, es raro que intentaran iniciar sesión desde Rusia. Un VPN con IP residencial de EE. UU. es muy barato.
    • Si se conectaron desde Primorskiy Krai, incluso si es real, es una ubicación bastante inesperada. No significa necesariamente que sea falsa, pero tampoco es común ni tiene mucho sentido.
  • Según la denuncia interna, el 3 de marzo funcionarios de DOGE se reunieron con la dirigencia de la NLRB y exigieron que se crearan varias cuentas “tenant admin” con todos los privilegios, excluidas del registro de red que deja constancia detallada de toda la actividad de esas cuentas.
    Por la navaja de Ockham, la situación parece bastante clara, pero me pregunto si podría haber alguna razón legítima para una solicitud así.

    • Lo peor es el detalle adicional del denunciante: unos 15 minutos después de que se creara una de las cuentas de DOGE, hubo un intento de inicio de sesión desde Rusia con la contraseña correcta. No hay muchas explicaciones que dejen bien parado a DOGE.
    • Me pregunto si es normal que un sistema de software tenga una función por la cual una cuenta “tenant admin” con todos los privilegios quede como excepción al registro de red. Es especialmente raro si se trata de un sistema que depende mucho de la auditabilidad.
    • No hay una razón legítima. Por esto, no se puede tomar al pie de la letra nada de lo que el lado de DOGE de Musk afirme haber encontrado.
      Como no hay registros de auditoría, tampoco pueden presentar pruebas de que no manipularon sus hallazgos. La próxima vez que afirmen que una persona de 170 años recibe cheques del Seguro Social, no habrá forma de demostrar que no restaron 100 años a las fechas de nacimiento en alguna tabla.
    • Se explica si intentaban ocultar sus huellas porque sabían que lo que pretendían hacer no estaba bien.
    • No se me ocurre ninguna razón. Incluso si le das a alguien permisos amplios para acceder y modificar datos, no apagas los logs de auditoría.
  • Parece bastante claro que empleados de DOGE accedieron a datos a los que no deberían haber accedido
    Según el artículo, DOGE tuvo acceso a una cuenta con permisos muy amplios de consulta y modificación, y alguien de DOGE podría haber descargado 10 GB de datos. La forma en que se usó podría ser ilegal, o el acceso en sí podría haber sido ilegal desde el principio. Tampoco está claro si el presidente puede otorgar ese tipo de acceso; personalmente, creo que no
    Además, un empleado de DOGE descargó código que podía eludir restricciones usando el enorme pool de IP de AWS; ese código estaba pésimamente escrito, y esa persona también hizo comentarios racistas
    Dicho eso, no entiendo bien qué beneficio habría aportado usar direcciones IP “ilimitadas” de AWS para hacer screen scraping automatizado de páginas web a la hora de copiar datos extremadamente sensibles de la base de datos interna de la NLRB. Si un sistema con datos ultrasensibles es accesible desde IP externas y permite iniciar 10 mil sesiones simultáneas con una sola cuenta para raspar la base de datos interna, entonces el sistema está gravemente roto. O quizá quieren decir que modificaron este código para usar 100 o 10 mil IP internas de la NLRB; tampoco queda claro. La automatización mencionada más adelante tiene más sentido como apoyo para tareas

    • El autor saca el tema del scraping de IP, pero no explica cómo se conecta todo, así que resulta bastante confuso. No sé si están diciendo que usaron esta utilidad para exfiltrar datos, o si son dos cosas completamente separadas
    • Sobre la parte de “creo que el presidente no puede hacerlo”, me pregunto a qué datos de una agencia federal no podría tener acceso el jefe del Poder Ejecutivo
  • Parece que el CEO de Tesla y SpaceX, una persona que presume tener un IQ alto y es conocida como programador, básicamente contrató a un script kiddie para una fuerza Delta de élite destinada a reducir la tecnología del gobierno

    • Me disgustaba Elon Musk desde antes de que pareciera cool. Al principio era fan de Tesla, pero cuando leí el “plan maestro ultrasecreto” de Musk, sentí que el presidente de la junta era un idiota
      Aun así, después me sorprendió escuchar valoraciones de que, en los primeros años de SpaceX, Musk era un líder competente y hábil. Tal vez haya sido producto del culto a la personalidad, pero también sonaba plausible. En ese momento parece que no actuaba como si fuera el mejor ingeniero, sino que entendía cuál era su lugar como gerente de ingeniería. Podría haber sido parecido a esos buenos gerentes que, aunque no saben programar, entienden bien el software y distinguen cuándo conviene codificar directamente y cuándo empujar mediante diseño
      Al final, la fama es como una droga potente. No creo que Musk haya sido especialmente de “alto IQ”, y por su primer matrimonio parece que siempre fue un perdedor misógino, pero ser venerado como el “Tony Stark de la vida real” parece haberle arruinado el cerebro. La ketamina tampoco debe ayudar
    • En esta industria existe el fenómeno de personas que carecen de cierta capacidad y se convencen a sí mismas de que son genios para detectar y aprovechar esa capacidad en otros
      Esas personas buscan a los “mejores de los mejores” de su imaginación y los mantienen cerca, y para su ego se vuelve muy importante que esa creencia no sea cuestionada. Se vuelven ciegas ante la evidencia contraria, y las personas que “descubrieron” tienen que ser extraordinarias para justificar su capacidad de selección de talento
      Parece que aquí está pasando algo así. La gente alrededor de Elon no parece particularmente destacada y su competencia es muy dudosa, pero para sostener su propio mito necesita un harén de “Super Coders
    • Se está subestimando la posibilidad de que quieran provocar caos deliberadamente y hacer que los sistemas fallen. El sueño republicano es que el gobierno fracase y sea privatizado, y cuesta imaginar una forma mejor de hacer fracasar al gobierno que esta
    • Por artículos similares, hasta donde puedo saber, todos son script kiddies
    • Estoy de acuerdo con lo de script kiddie, y la cobertura en general también lo mostró así. Pero en cierto sentido quizá esa sea la intención
      El mensaje es que unos cuantos jóvenes promedio de Ciencias de la Computación, que ni siquiera tienen edad para rentar un auto, pueden ahorrar miles de millones de dólares con solo revisar la información financiera más básica de los departamentos gubernamentales. La idea es que no deberían ser una “fuerza Delta”, sino pasantes
      No intento defender los medios por el fin, pero sí me gustaría que los impuestos se usaran de manera más eficiente. Al mismo tiempo, el nivel de acceso que se les está dando es extremadamente preocupante y, en la práctica, no hay rendición de cuentas
  • Incluso ignorando quién es Marko, resulta raro que una persona al azar haya publicado un ataque público así en el repositorio. Nunca me ha pasado ver por casualidad un repositorio y querer atacarlo, y esa crítica también huele a generada por IA
    Enlace citado: https://github.com/markoelez/async-ip-rotator/issues/1
    Los comentarios posteriores también son una interacción bastante extraña e interesante como para pensar que fue casualidad

    • Solo es raro si “ignoras quién es Marko”. No fue casualidad: alguien expuso que los “coders genios” de DOGE en realidad estaban desnudos
    • El 6 de febrero, Marko Elez anunció que renunciaba a DOGE después de que el WSJ encontrara varias publicaciones racistas que escribió en 2024. El WSJ lo reportó el día 5
      Es muy probable que, por eso, alguien se haya preguntado qué tan buenas eran realmente sus habilidades de programación y haya revisado los repositorios que creó. Después, Musk hizo una “votación” en X sobre si volver a contratar a Elez en DOGE; el 20 de febrero, Elez volvió a tener una dirección de correo del gobierno de EE. UU., y el 21 de febrero se reportó que estaba trabajando para DOGE en la Administración del Seguro Social
    • En el segundo comentario del issue queda bastante claro por qué se publicó el primero. Dice que, al ver la noticia de su renuncia, no pudo evitar hablar de la hipocresía de que una persona vinculada a una cuenta que defendía la “normalización del odio contra los indios” y una “política migratoria eugenésica” tuviera esas opiniones en el contexto de la industria de TI
    • Unos 20 minutos después de que se publicara el comentario del OP, el repositorio fue retirado. Enlace archivado: https://web.archive.org/web/20250423135719/https://github.co...
    • No veo por qué habría que considerarlo raro. El usuario que escribió eso parece llevar bastante tiempo activo y, viendo sus repositorios públicos, parece trabajar en un contexto cercano, así que es perfectamente posible que haya intentado usar async-ip-rotator en su propio proyecto
  • El solo hecho de que hayan dejado estos paquetes públicos en GitHub es raro. ¿Será que no saben que pueden hacerlos privados? Sinceramente, muestra lo tonta que es esta gente.

    • O quizá se envalentonaron porque saben que no habrá ninguna consecuencia.
      Basta ver la lista de indultos que ha emitido esta administración. Ni siquiera los van a acusar.
    • Puede que en este caso específico no importe mucho, pero en GitHub los forks privados no son completamente privados: https://docs.github.com/en/pull-requests/collaborating-with-...
    • Para hacer privado un fork de un repositorio público hay que usar la línea de comandos de git.
    • Reutilizaron paquetes públicos, y esos paquetes llevaban años siendo públicos. Una persona agregó cambios y creó un fork público; supongo que ese no es el objetivo del open source, ¿o sí?
  • Alguien debería ir a la cárcel por esto. No es un simple malentendido, sino un ataque deliberado contra todos los ciudadanos estadounidenses.

    • Las personas que tendrían que ver esto y entenderlo viven en otra realidad, y estos hechos incómodos se extraen, transforman y cargan como indignación justiciera contra la gente que detestan.
      El Estado profundo que les preocupaba es precisamente esto, y también es la bota que los va a pisotear.
      Edit: ¿el comentario padre era el mejor posicionado en este artículo y ahora está hasta abajo?
    • En este momento la probabilidad de que eso ocurra es 0.
    • Parece que olvidaste quién es el presidente. Se van a salir con la suya en todo esto y en todo lo demás. Eso no significa que no haya que intentarlo, pero hay que ser realistas.
    • Creo que Trump tiene un cajón lleno de indultos para todos los involucrados en este asunto. Si pensaran que algún día tendrían que enfrentar consecuencias, no estarían violando tantas leyes en todo el gobierno.
      Si el indulto no es el medio para impedir que el próximo Congreso y la próxima administración arreglen esto, la alternativa es demasiado sombría como para pensarla.
    • Aunque alguien intentara presentar cargos, al final serán indultados, así que en la práctica lo veo difícil.
  • Tener acceso total a bases de datos del gobierno de una forma imposible de rastrear hace que sea difícil siquiera imaginar sus efectos en cadena.

    • Lo único de lo que nos enteramos son los casos en que alguien asumió el riesgo de denunciar internamente y de hecho logró sacar la historia a la luz.
      Solo espero que haya suficientes pruebas para que la gente lo tome en serio. Cuántos casos más habrá con posibilidad de hacerse públicos queda a criterio del lector.
    • En la práctica tuvieron acceso directo a datos personales relacionados con denuncias contra empresas propiedad de Musk.
  • No entiendo exactamente qué se está alegando. ¿Que la gente de DOGE escribió y usó código de “hackers” de GitHub para eludir las restricciones de seguridad de los datos de la NLRB? Si ya tenían una cuenta de superusuario en el sistema, me pregunto por qué necesitarían hacer algo así.

    • El punto del artículo parece ser que las afirmaciones originales del denunciante pueden respaldarse con material público. Es otro dato más de que la gente de DOGE, en el mejor de los casos, está actuando de forma torpe; y la interpretación más probable es que intenta ocultar sus huellas porque sabe que lo que hace no pasaría una revisión legal.
    • DOGE descargó una biblioteca que ayuda a la exfiltración de datos y, de hecho, exfiltró datos obtenidos con una cuenta de superusuario.
      Recomiendo leer el documento de la denuncia: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
    • El artículo está muy mal escrito. El documento público en sí es mucho más fácil de leer.
      https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
    • Lo esencial queda enterrado, pero la implicación es que podrían descargar grandes volúmenes de datos sobre organizadores sindicales y entregárselos a una empresa, para que esa empresa pueda despedir preventivamente a esas personas.
    • Porque agregaron un backdoor que no queda registrado en los logs de auditoría.