3 poin oleh GN⁺ 2025-02-15 | 1 komentar | Bagikan ke WhatsApp
  • doge.gov, yang melacak status pengurangan pemerintah federal oleh Elon Musk, diketahui mengambil data dari basis data yang bisa diubah oleh pihak luar
  • Dua orang yang menemukan celah ini membagikan ke 404 Media bahwa operasi penulisan oleh pihak ketiga dimungkinkan, dan isi yang mereka masukkan benar-benar ditampilkan di situs web
  • Seorang coder menambahkan setidaknya 2 entri basis data yang terlihat di situs live, termasuk kalimat yang mengejek situs .gov tersebut dan menyoroti basis data yang terbuka
  • Situs ini dirilis terburu-buru setelah Musk mengatakan bahwa aktivitas DOGE akan dipublikasikan di akun @DOGE di X dan di situs web DOGE, lalu kemudian ditambahkan mirror postingan dan statistik tenaga kerja federal
  • Dua pakar pengembangan web anonim menilai doge.gov tampaknya dibangun di atas Cloudflare Pages, bukan server pemerintah, dan kode yang benar-benar berjalan juga tampaknya dideploy di sana

Basis data doge.gov yang bisa diubah pihak luar

  • doge.gov adalah situs web yang dibuat untuk melacak aktivitas pengurangan pemerintah federal oleh Elon Musk
  • Dua orang yang menemukan celah ini membagikan ke 404 Media bahwa situs tersebut mengambil data dari basis data yang bisa diubah siapa saja
  • Dikonfirmasi bahwa strukturnya memungkinkan pihak luar menulis entri ke basis data, dan entri itu kemudian tampil di situs live

Entri sisipan yang benar-benar tampil di situs

  • Seorang coder menambahkan setidaknya 2 entri ke basis data, dan entri tersebut benar-benar terlihat di situs doge.gov
    • “this is a joke of a .gov site”
    • “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
  • Kedua entri tersebut masing-masing diperlakukan sebagai item yang ditampilkan di halaman workforce doge.gov

Situs web DOGE yang diperluas secara terburu-buru

  • doge.gov dirilis terburu-buru setelah Elon Musk mengatakan kepada para jurnalis bahwa Department of Government Efficiency ingin menjadi “setransparan mungkin”
  • Musk mengatakan bahwa tindakan DOGE akan dipublikasikan di handle DOGE di X dan di situs web DOGE
  • Pada saat itu, situs web DOGE pada dasarnya adalah halaman kosong
  • Setelah itu, pada Rabu dan Kamis, situs tersebut dibangun lebih lanjut dengan penambahan fitur berikut
    • mirror postingan akun @DOGE di X
    • berbagai statistik terkait tenaga kerja pemerintah federal Amerika Serikat

Indikasi deployment berbasis Cloudflare Pages

  • Dua pakar pengembangan web yang meminta anonimitas menilai bahwa doge.gov tampaknya dibangun di atas situs Cloudflare Pages
  • Mereka meminta anonimitas karena sedang meninjau situs web federal
  • Keduanya mengatakan bahwa doge.gov saat ini tampaknya tidak dihosting di server pemerintah
  • Basis data yang diambil situs tersebut bisa ditulisi oleh pihak ketiga, dan konten yang sudah ditulis pihak ketiga memang tampil di situs web sebenarnya
  • Dua sumber itu memastikan bahwa doge.gov mengambil data dari situs web Cloudflare Pages tempat kode yang benar-benar berjalan dideploy

1 komentar

 
GN⁺ 2025-02-15
Komentar Hacker News
  • https://archive.ph/wy1Wt

  • U.S. Digital Service (USDS) sudah lama memiliki keahlian dalam membuat dan menerapkan situs web statis untuk pemerintah federal bahkan sebelum diserap ke DOGE, dan mereka menjalankan seluruh prosesnya secara terbuka
    Dalam beberapa menit, seluruh usds.gov yang dibuat dengan Jekyll (2.700 aset dan dokumen, 150 MB) bisa dikloning lalu dideploy ulang secara lokal atau ke S3, dan semua instruksi deployment juga sudah dituliskan: https://github.com/usds/website

    • Dulu saya mengetahui USDS dari Hacker News dan selalu terkesan. Jika seseorang dengan niat baik ingin membuat “DOGE”, maksudnya bukan menghancurkan pemerintah melainkan meningkatkan efisiensi, saya kira wujudnya adalah memperbesar wewenang dan cakupan organisasi seperti USDS
    • Adanya standard operating procedure (SOP) untuk konten statis terasa cukup bagus
      Saya memakai beberapa SOP setiap hari, dan prinsipnya adalah meskipun hanya ingat namanya lalu melupakan sisanya, kita seharusnya bisa mencari dokumennya, mempelajarinya kembali, dan menghasilkan hasil yang hampir sama. Bahkan di dokumen Soviet era 1950-an bisa ditemukan hal yang mirip SOP modern, tetapi dokumen Angkatan Laut AS seperti SOP melipat atau SOP mandi militer terasa sangat praktis
    • Mereka menerapkan situs pemerintah federal yang menjadi target aktor serangan tingkat negara sambil menjalankan skrip shell langsung dari web publik?
      Di Dockerfile ada curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.sh
    • Saya bisa melihat perubahan terbaru, tetapi penasaran apakah timestamp lama juga bisa diperiksa untuk keperluan arsip
  • Saya ingin membahas peretasan itu sendiri. Apakah ada yang bisa memberi penjelasan lebih detail daripada “mereka membiarkan database terbuka”? Saya datang ke sini untuk benar-benar melihat pembahasan itu, tetapi sejauh ini belum terlihat

    • Seseorang mencoba mendeobfuscate JavaScript-nya, dan ternyata beberapa endpoint REST di dalamnya adalah endpoint CRUD tanpa validasi untuk situs tersebut
      https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
    • Menurut sumber saya, ada endpoint API tidak aman yang bisa diubah
    • Dengan informasi “pihak ketiga bisa menulis ke database yang dibaca situs, dan kontennya tampil di situs live” saja, belum cukup untuk menyimpulkan secara pasti
      Bisa jadi SQL injection, atau kredensial terekspos di frontend
    • Saya memilih SQL injection
    • Artikelnya berada di balik paywall, tetapi sebenarnya terdengar seperti ini hanya terbatas pada feed Twitter yang ditampilkan di situs
      Pada dasarnya situs itu di-host di Cloudflare, dan sepertinya orang bisa menyisipkan tweet palsu ke konten yang dicatat di situs, bukan ke feed Twitter DOGE yang sebenarnya. Sepertinya tidak ada data nyata yang bocor
  • Ironisnya, catatan WHOIS menunjuk ke CISA, yaitu Cybersecurity and Infrastructure Security Agency. Jadi cukup menumbuhkan rasa percaya

  • Situs rincian penghematan mengatakan akan menampilkan tanda terima paling lambat Hari Valentine
    https://www.doge.gov/savings
    Sekarang tertulis “Tanda terima akan dipublikasikan akhir pekan ini!” Berikutnya mungkin “Situsnya sudah siap untuk tanda terima”

    • Maksudnya seperti janji-janji Musk lainnya semacam FSD?
    • Sepertinya mereka mulai mengunggah sebagian data. Saya tidak tahu FPDS itu apa, tetapi semua dokumennya terlihat seperti dirender dengan tema OSX Aqua
      Banyak pemangkasan pada awalnya tampak “masuk akal”, tetapi akan terlihat berbeda ketika kita tahu bahwa “memangkas langganan majalah” sebenarnya berarti “memutus sumber berita keuangan untuk Consumer Financial Protection Bureau” atau “tidak memperpanjang langganan berita tepercaya bagi orang-orang yang benar-benar perlu memahami isu terkini”
      Banyak juga pemangkasan pelatihan DEI/keberagaman, dan ini terasa bukan perang melawan “memperlakukan orang dengan benar-benar baik”, melainkan menyasar kelompok-kelompok yang melalui pelatihan itu membantu pegawai melayani dengan lebih baik. Misalnya mengurangi DEI di SNAP; berdasarkan data yang disebut sebagai data USDA, ada 5 kelompok etnis dan “ras tidak diketahui” yang terdaftar di SNAP. Bayangkan bagaimana melatih orang untuk memahami, berinteraksi dengan, dan membantu orang-orang dari beragam latar etnis yang membutuhkan bantuan seperti ini
      Empati dan pemahaman adalah keterampilan yang sangat baik dalam peran seperti ini, dan saya melihat DEI memberikan pelatihan itu bagi semua pihak yang terkait. Pandangan umum sayap kanan adalah bahwa DEI itu rasis dan anti-orang kulit putih, tetapi mereka melewatkan gagasan bahwa orang non-kulit putih pun mungkin membutuhkan pelatihan ini. DEI adalah soal memahami perbedaan, tetapi sayap kanan membacanya sebagai “memahami orang non-kulit putih” dan tampaknya tersinggung oleh kenyataan bahwa mereka harus memikirkan budaya lain
      Pemangkasan lain adalah anggaran pelatihan gender, dan pelatihan itu ditujukan untuk kantor terkait teknologi dan rekayasa. Bidang itu sudah lama terkenal sangat didominasi laki-laki, jadi bisa dipahami bahwa pelatihan seperti ini bermanfaat. Karena saya pernah mendengar bagaimana orang berbicara dan bertindak terhadap perempuan dan queer di industri teknologi, saya rasa pelatihan memang diperlukan
      Program seperti ini bukan untuk menjejalkan kepada orang apa yang harus mereka pikirkan. Jika seseorang tidak mampu berinteraksi dengan dunia secara empatik, pelatihan di tempat kerja tidak akan mengubah itu. Namun pelatihan bisa memberi tahu bagaimana seharusnya berinteraksi dan bekerja secara produktif dalam lingkungan profesional. Di perusahaan tujuannya menghasilkan lebih banyak uang, di pemerintah tujuannya membantu lebih banyak orang. Itu mencakup pegawai maupun komunitas yang menerima layanan
      Pada akhirnya Trump memang melakukan apa yang ia katakan, dan detailnya suram
  • Bergerak cepat dan merusak banyak hal, versi pemerintah

  • DOGE tampaknya bahkan lebih cocok dengan “Vox Populi, Vox Dei” daripada Twitter

  • Kalau punya teman-teman seperti ini, untuk apa butuh musuh?

  • Mungkin anak-anak itu perlu dipecat dan diganti dengan insinyur sungguhan
    Karena sebagian dari mereka mungkin membaca Hacker News, ini sarannya: singkirkan ChatGPT dan pelajari dengan benar apa yang kalian lakukan

    • Insinyur sungguhan akan menginginkan kompensasi dan jam kerja yang wajar, dan tidak akan keliru menganggap atasan mereka sebagai dewa yang hidup
      Bahkan mungkin punya kepercayaan diri dan moralitas, yang sepertinya akan jadi alasan diskualifikasi total
    • Satu hal bahwa mereka semua terlalu muda menjelaskan kenapa aku bahkan tidak dapat wawancara. Di usia 28, ternyata aku sudah terlalu tua untuk bekerja di sana
    • Mereka bukan profesional yang tekun, melainkan ideolog
    • Orang yang dibutuhkan harus memenuhi tiga syarat: insinyur bagus yang berpengalaman, tidak punya etika, dan puas dibayar di bawah harga pasar untuk insinyur bagus berpengalaman yang tidak punya etika
  • Tidak terlihat apa yang sebenarnya terjadi di sini? Menamai “lembaga pemerintah” dari koin meme, dan menyela presiden yang benar-benar sedang duduk di Ruang Oval sambil mengenakan topi
    Elon sedang memberi sinyal bahwa ia tidak punya rasa hormat terhadap institusi negara kita. Kenapa Trump melakukan hal remeh seperti seakan-akan hanya mengganti nama Mexico? Itu uji lakmus untuk melihat siapa yang akan patuh pada pamer kekuasaan paling absurd. Hari ini hal itu dijalankan, ketika AP dilarang masuk ke Ruang Oval dan AF1 karena tidak tunduk dalam soal ini. Ini jauh lebih gelap daripada sekadar Elon bertingkah liar

    • Benar. Ini adalah kudeta fasis oleh neo-Nazi
    • Ini jauh, jauh lebih buruk daripada 9/11
      Mungkin saja menara pertama belum runtuh, bola apinya sudah hilang, dan petugas pemadam kebakaran sedang menaiki tangga sehingga kita berpikir kita akan segera diselamatkan. Namun di bawah permukaan, api menyala putih membara dan baja makin panas serta makin lunak setiap menit
      Tidak perlu mencari jauh-jauh untuk menemukan contoh perubahan yang sangat kecil dari pemerintahan sebelumnya yang menghasilkan konsekuensi tak terduga yang sangat besar. Kita sedang benar-benar dimasak matang
    • Tepat. Mereka membuat sesuatu yang tidak masuk akal, menyebutnya resmi, lalu melarang siapa pun yang tidak ikut karena dianggap menyebarkan kebohongan. Diktator 101
    • Semangat kewirausahaan Amerika telah menumbuhkan paranoia dan ingin balas dendam
      Mereka akan menerapkan kebijakan proteksionis, mendorong pemangkasan belanja lebih dulu daripada reformasi pajak sambil menunjukkan “lihat, kita menghemat sebanyak ini”, lalu melikuidasi portofolio bernilai ratusan miliar dolar dengan harapan pasar naik, dan pensiun ke sebuah pulau
      Setidaknya begitulah teorinya. Amerika tampaknya tidak ingin mengakui bahwa CCP menggenggam kapasitas industri Amerika, dan dengan perencanaan terpusat bisa menggeser pasar EV Amerika atau tonase angkatan laut sesuka hati. Ada asumsi bahwa deregulasi pada akhirnya akan menjadi obat mujarab bagi masalah Amerika, tetapi itu tidak bisa dikejar secara konsisten bersama kebijakan perdagangan dunia. Kita tidak bisa menjatuhkan sanksi pada ICC sambil menuntut negara lain mengekstradisi penjahat ke Amerika, dan tidak bisa meninggalkan Human Rights Council sambil menuntut negara lain menghormati otoritas moral kita
      Empat tahun ke depan akan menjadi masa ketika dunia beradab sekali lagi membuktikan bahwa mereka bisa berjalan tanpa Amerika. Trump akan menjilat para diktator luar negeri, sementara yang lain hanya akan gelisah menunggu pemilihan pendahuluan berikutnya. Stagnasi ala 2016 adalah skenario terbaik, dan kalau ada keberuntungan, musuh-musuh utama Amerika juga sedang cukup kesulitan saat ini. Kalau Trump duduk di kursi pada era Nixon atau Reagan, Amerika sudah tamat