El código de un ingeniero de DOGE respalda la denuncia de un informante interno de la NLRB

 (krebsonsecurity.com)
2 puntos por GN⁺ 2025-04-24 | 1 comentarios | Compartir por WhatsApp
  • Un informante interno de la NLRB afirma que el departamento DOGE bajo Elon Musk descargó sin autorización más de 10 GB de datos sensibles sobre disputas laborales
  • Las cuentas de DOGE evitaron la supervisión de logs con privilegios de administrador y descargaron tres códigos externos de GitHub, uno de ellos con tecnología de rotación de IP usada para web scraping y ataques de fuerza bruta
  • El empleado clave Marko Elez subió la versión más reciente de esa tecnología a GitHub, y ya era una figura polémica por violaciones previas a reglas de seguridad informática y declaraciones controversiales
  • Entre los otros códigos descargados estaban la herramienta de ingeniería inversa de APIs Integuru y el navegador automatizado Browserless
  • La calidad del código de Elez recibió fuertes críticas en GitHub y luego el repositorio fue eliminado

Acceso de las cuentas DOGE a información sensible

  • El informante interno Daniel J. Berulis afirma que empleados de DOGE exigieron el 3 de marzo a la NLRB la creación de una cuenta de administrador con privilegios máximos (tenant admin)
  • Estas cuentas estaban exentas de toda supervisión de logs de red y podían leer/copiar/modificar datos, además de manipular logs
  • Aunque ni Berulis ni su supervisor tenían esos privilegios, DOGE sí los obtuvo

Descarga de código desde GitHub y herramienta de rotación de IP

  • Las cuentas de DOGE descargaron tres repositorios externos de GitHub, uno de ellos una biblioteca que genera “pseudo-infinite IPs”
  • Esta biblioteca se usa para web scraping e intentos de inicio de sesión por fuerza bruta
  • El código deriva de requests-ip-rotator, creado por el usuario de GitHub Ge0rg3, y Marko Elez desarrolló a partir de él async-ip-rotator en enero de 2025

Marko Elez y sus controversias

  • Marko Elez trabajó en varias empresas de Musk, como X, SpaceX y xAI, y actualmente está adscrito al Departamento de Trabajo, desde donde fue asignado a varias agencias del gobierno
  • En el pasado, durante su trabajo en el Departamento del Tesoro, estuvo envuelto en polémica por una filtración de información sensible, y fue despedido tras una controversia por comentarios racistas, aunque luego fue reincorporado
  • Politico informó que Elez había cometido previamente una violación de políticas de seguridad de alto nivel

Código descargado adicional y controversia de seguridad

  • Los repositorios adicionales descargados de GitHub fueron:
    • Integuru: framework para hacer ingeniería inversa de APIs de sitios web
    • Browserless: herramienta de automatización web que usa un pool de navegadores
  • Usuarios de GitHub señalaron problemas graves de seguridad y escalabilidad en async-ip-rotator
    • “Si este código se usa en un sistema de nivel de producción, debería recibir una auditoría de seguridad inmediata”

Paralización de la NLRB y contexto político

  • El presidente Trump destituyó a tres comisionados de la NLRB, dejando al organismo prácticamente paralizado
  • Actualmente, Amazon y SpaceX mantienen demandas argumentando que la NLRB viola la Constitución, pero el 5 de marzo una corte de apelaciones las rechazó
  • Berulis advirtió que esta filtración de datos podría dar a ciertas empresas una ventaja injusta en disputas laborales
    • “Se vuelve posible identificar y despedir a organizadores sindicales”

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-04-24
Opiniones de Hacker News

  • El código de Ge0rg3 es "de código abierto", por lo que cualquiera puede copiarlo y reutilizarlo con fines no comerciales

    • Una nueva versión derivada de este código, "async-ip-rotator", fue subida a GitHub por Marko Elez de DOGE en enero de 2025
    • Es casi idéntica al código original, pero se eliminaron los comentarios, se añadió un poco de async y hay cambios menores
    • Sin embargo, la licencia GPL3 original desapareció
    • Es difícil esperar que la gente de DOGE entienda o respete eso

  • Según la denuncia del denunciante Daniel J. Berulis, alrededor del 11 de marzo de 2025 las métricas de NxGen mostraron un uso anómalo

    • Después de que DOGE accedió a los sistemas de la NLRB, un usuario con una dirección IP de Primorskiy Krai, Rusia, comenzó intentos de inicio de sesión
    • Estos intentos fueron bloqueados, pero resultaron especialmente alarmantes
    • Los intentos de inicio de sesión se hicieron usando una de las cuentas recién creadas utilizadas en actividades relacionadas con DOGE, y el flujo de autenticación fue bloqueado por la política de inicios de sesión desde fuera del país
    • Hubo más de 20 de estos intentos de inicio de sesión, y lo más preocupante es que muchos ocurrieron dentro de los 15 minutos posteriores a que la cuenta fuera creada por un ingeniero de DOGE

  • Personal de DOGE accedió a datos a los que no debía tener acceso

    • Es posible que DOGE haya accedido a una cuenta con privilegios enormes y descargado 10 GB de datos
    • Es posible que estos datos se hayan usado ilegalmente
    • No está claro si el POTUS puede autorizar ese tipo de acceso

  • Un empleado de DOGE descargó código que puede usar el pool de direcciones IP de AWS para evadir restricciones

    • El código está mal escrito
    • Podría ser racista

  • Se cuestiona cómo un empleado de DOGE pudo beneficiarse de usar las direcciones IP "ilimitadas" de AWS para hacer scraping automatizado de páginas web y copiar datos sensibles desde bases de datos internas de la NLRB

    • Se pregunta si 10,000 sesiones se autenticaron simultáneamente en la base de datos e hicieron scraping de datos
    • Si existe un sistema donde datos extremadamente sensibles son accesibles desde IP externas y una sola cuenta puede iniciar sesión 10,000 veces para hacer scraping de datos, entonces hay un problema

  • Se publicaron críticas al código de Marko Elez en la página de "issues" de GitHub

    • El código fue calificado como "inseguro, no escalable y un fracaso fundamental de ingeniería"
    • Esta crítica parece haber sido generada por IA

  • Se afirma que el CEO de Tesla y Space-X contrató a un script kiddie

  • Se argumenta que alguien debería ir a la cárcel por esto

    • No se trata de un simple malentendido, sino de un ataque intencional contra todos los ciudadanos estadounidenses

  • Se critica un paquete publicado en GitHub

    • Parece que no sabían que podía hacerse privado

  • Existe preocupación por un acceso completo e imposible de rastrear a bases de datos gubernamentales

  • Berulis afirma que lo hizo público porque sus superiores le dijeron que no lo reportara a US-CERT

    • Si esta afirmación es cierta, surge la pregunta de cuál sería la motivación de sus superiores para mantenerlo en secreto
    • Es posible que el resto del gobierno federal también sea vulnerable al mismo actor de amenaza
    • Se cuestiona si sus superiores reportaron la crisis de seguridad por canales mejores o si intentaron mantenerla completamente en silencio