Whistleblower: DOGE mengambil data kasus NLRB
(krebsonsecurity.com)- Arsitek keamanan NLRB Daniel J. Berulis mengklaim bahwa personel DOGE milik Elon Musk mentransfer data sensitif dalam skala gigabyte dari berkas kasus lembaga pada awal Maret, dan menggunakan akun jangka pendek yang hampir tidak meninggalkan jejak
- Akun tersebut disebut dibuat dengan hak tenant admin di sistem NLRB, sehingga dapat membaca, menyalin, dan mengubah data manajemen kasus NxGen, serta memiliki hak untuk membatasi visibilitas log atau bahkan menghapus log
- Setelah trafik keluar lembaga melonjak pada dini hari 4 Maret, satu akun baru diketahui mentransfer sekitar 10GB, tetapi Berulis dan rekan-rekannya tidak memiliki wewenang untuk memeriksa berkas apa yang pergi ke mana
- Dalam 15 menit setelah akun DOGE baru dibuat, terjadi lebih dari 20 percobaan login dari alamat internet Rusia menggunakan nama akun dan kata sandi yang valid, tetapi diblokir oleh kebijakan pemblokiran login dari luar AS
- NLRB mengatakan kepada NPR bahwa tidak ada pembobolan, tetapi Berulis membagikan peringatan Microsoft dan tangkapan layar email internal, lalu memilih membuka informasi ini setelah pelaporan ke US-CERT dihentikan; ia juga mengatakan hak adminnya kemudian dibatasi
Inti whistleblowing di NLRB
- Arsitek keamanan NLRB Daniel J. Berulis mengirim surat whistleblowing kepada Senate Select Committee on Intelligence pada 14 April
- Klaim utama Berulis adalah bahwa mulai 3 Maret selama sekitar satu bulan, pihak-pihak terkait DOGE meminta agar akun administrator yang kuat dibuat di sistem NLRB, dan akun-akun tersebut diberi pengecualian agar tidak meninggalkan logging jaringan biasa
- NLRB adalah lembaga federal independen berskala kecil yang menyelidiki dan memutuskan pengaduan terkait praktik ketenagakerjaan tidak adil, serta menyimpan data sensitif seperti informasi rahasia karyawan yang ingin membentuk serikat pekerja dan informasi proprietary perusahaan
Pembuatan akun DOGE dan permintaan hak akses
- Menurut Berulis, pada 3 Maret pegawai DOGE tiba di kantor pusat NLRB di tenggara Washington D.C. dengan SUV hitam dan pengawalan polisi
- Mereka tidak berbicara dengan Berulis maupun staf TI NLRB, melainkan bertemu dengan pimpinan lembaga
- Setelah rapat, acting CIO NLRB menginstruksikan agar prosedur operasi standar tidak diikuti dalam pembuatan akun DOGE, dan agar log atau catatan untuk akun pegawai DOGE tidak dibuat, demikian kesaksian Berulis
- Ada peran yang sudah ada yang dapat digunakan auditor, tetapi strukturnya tidak memberikan hak untuk melakukan perubahan ataupun akses ke subsistem tanpa persetujuan
- Berulis mengatakan opsi untuk menyarankan pihak DOGE menggunakan akun tersebut tidak menjadi bahan pembahasan
- Akun-akun baru tersebut disebut memiliki hak tak terbatas untuk membaca, menyalin, dan mengubah informasi basis data NLRB
- Membatasi visibilitas log
- Menunda retensi log
- Merutekan log ke tempat lain
- Menghapus seluruh log
- Hak tingkat tertinggi yang bahkan tidak dimiliki Berulis dan atasannya
Kontainer dan transfer data NxGen
- Berulis mengetahui bahwa pada 3 Maret salah satu akun DOGE membuat lingkungan virtual yang tidak transparan bernama container
- Container dapat digunakan untuk membangun dan menjalankan program atau skrip tanpa menampakkan aktivitasnya ke luar
- Setelah dikonfirmasi oleh rekan kerja, disebut tidak pernah ada preseden penggunaan container di dalam jaringan NLRB
- Keesokan harinya, 4 Maret sekitar pukul 03.00–04.00 pagi, trafik keluar dari lembaga meningkat tajam
- Setelah menyelidiki selama beberapa hari, Berulis dan rekan-rekannya menilai bahwa salah satu akun baru mentransfer sekitar 10GB data dari sistem manajemen kasus NxGen milik NLRB
- Basis data NxGen berisi informasi sensitif terkait serikat pekerja, perkara hukum yang sedang berjalan, dan rahasia perusahaan
- Berulis dan rekan-rekannya tidak memiliki akses jaringan untuk memastikan berkas mana yang diakses atau ditransfer, maupun ke mana data itu pergi
- Berulis menyampaikan kepada Senat bahwa ia tidak tahu apakah data tersebut total 10GB, atau apakah data digabungkan dan dikompresi sebelum ditransfer, serta ada kemungkinan lebih banyak data yang bocor
- Disebut bahwa sangat jarang data dari basis data NLRB keluar langsung ke luar, sehingga lonjakan seperti ini sangat tidak biasa
Percobaan login dari IP Rusia dan akun mencurigakan
- Berulis dan rekan-rekannya memastikan bahwa terjadi lebih dari 20 percobaan login dari alamat internet Rusia 83.149.30.186 menggunakan kredensial valid akun pegawai DOGE
- Semua percobaan tersebut diblokir karena aturan yang melarang login dari luar Amerika Serikat
- Berulis mengatakan bahwa dari alur autentikasi, pelaku percobaan login tampaknya memiliki nama pengguna dan kata sandi yang benar
- Secara khusus, banyak percobaan terjadi dalam 15 menit setelah para engineer DOGE membuat akun, sehingga menimbulkan kekhawatiran lebih besar
- Salah satu nama akun pengguna Microsoft yang terkait dengan aktivitas mencurigakan adalah DogeSA_2d5c3e0446f9@nlrb.microsoft.com, dan Berulis memandang akun ini sebagai akun yang dibuat untuk keperluan DOGE di sistem cloud NLRB lalu dihapus
- Akun administrator cloud Microsoft baru lainnya mencakup nama pengguna nonstandar seperti Whitesox, Chicago M. dan Dancehall, Jamaica R
Log yang hilang dan library kode eksternal
- Pada 5 Maret, Berulis mendokumentasikan bahwa sebagian besar log terkait resource jaringan yang baru dibuat telah hilang, dan network watcher Microsoft Azure disetel ke status “off” sehingga tidak melakukan pengumpulan dan pencatatan data secara normal
- Ia juga menemukan bahwa seseorang mengunduh tiga library kode eksternal dari GitHub yang tidak digunakan oleh NLRB maupun kontraktornya
- Salah satu file readme dalam bundel kode tersebut menjelaskan penggunaan untuk merotasi koneksi melalui pool alamat internet cloud berskala besar
- Pool alamat tersebut disebut digunakan sebagai proxy “pseudo-infinite IPs” untuk web scraping dan brute forcing
- Serangan brute force adalah serangan login yang secara otomatis mencoba banyak kombinasi kredensial dengan cepat
Penghentian pelaporan US-CERT dan keputusan untuk membuka informasi
- Menurut whistleblowing Berulis, sekitar 17 Maret menjadi jelas bahwa NLRB tidak lagi memiliki resource atau akses jaringan untuk menyelidiki sepenuhnya aktivitas abnormal akun DOGE
- Pada 24 Maret, associate CIO lembaga setuju bahwa perkara ini harus dilaporkan ke US-CERT
- US-CERT dioperasikan oleh CISA di bawah Department of Homeland Security, dan menyediakan kemampuan respons insiden siber di lapangan untuk lembaga pemerintah federal dan negara bagian
- Berulis mengatakan bahwa antara 3–4 April, ia dan associate CIO menerima instruksi untuk menghentikan pelaporan dan investigasi US-CERT, serta diperintahkan untuk tidak membuat atau melanjutkan laporan resmi
- Pada titik ini Berulis memutuskan untuk membuka hasil penyelidikannya
Bantahan NLRB dan materi dari Berulis
- Acting press secretary NLRB Tim Bearese mengatakan kepada NPR bahwa DOGE tidak pernah meminta ataupun menerima akses ke sistem NLRB
- Ia mengatakan kepada NPR bahwa setelah Berulis menyampaikan kekhawatirannya, lembaga melakukan investigasi dan menyimpulkan bahwa “tidak ada pembobolan sistem lembaga”
- NLRB tidak menjawab pertanyaan dari KrebsOnSecurity
- Berulis membagikan diskusi email internal lembaga tentang aktivitas akun yang tidak dapat dijelaskan dan ditunjuk sebagai akun DOGE, serta tangkapan layar peringatan keamanan NLRB terkait anomali jaringan yang diamati Microsoft selama periode tersebut
Konteks terpisah seputar NLRB
- CNN melaporkan bulan lalu bahwa Presiden Trump memberhentikan tiga anggota dewan NLRB, sehingga lembaga kehilangan kuorum yang diperlukan untuk berfungsi dan pada dasarnya lumpuh
- CNN menulis bahwa meskipun memiliki keterbatasan, NLRB telah menjadi sumber masalah bagi sejumlah tokoh kaya dan berkuasa di AS, termasuk Elon Musk
- Amazon dan SpaceX milik Musk telah menggugat NLRB atas pengaduan yang diajukan NLRB dalam sengketa terkait hak pekerja dan pengorganisasian serikat pekerja
- Kedua perusahaan berargumen bahwa keberadaan NLRB itu sendiri inkonstitusional
- Pada 5 Maret, pengadilan banding AS dengan suara bulat menolak argumen pihak Musk bahwa struktur NLRB melanggar Konstitusi
Pembatasan akses setelah whistleblowing
- Berulis mengatakan bahwa pada 14 April, hari ketika NPR melaporkan klaimnya, deputy CIO NLRB mengirim email yang menyatakan bahwa kontrol administrator telah dihapus dari semua akun pegawai
- Akibatnya, kata Berulis, staf TI NLRB tidak lagi dapat menjalankan pekerjaan mereka dengan baik
- Email seluruh lembaga dari direktur NLRB Lasharn Hamilton pada 16 April disebut menyatakan bahwa pihak DOGE meminta rapat, dan mengulangi klaim bahwa lembaga sebelumnya tidak memiliki kontak “resmi” dengan personel DOGE
- Email yang sama memberi tahu pegawai bahwa dua perwakilan DOGE akan ditempatkan paruh waktu di NLRB selama beberapa bulan
- Berulis mengatakan bahwa saat ia membuat tiket dukungan Microsoft untuk meminta informasi tambahan tentang akun DOGE, akses administrator jaringannya dibatasi
- Ia berharap para anggota parlemen meminta lebih banyak informasi kepada Microsoft tentang apa yang sebenarnya terjadi pada akun-akun tersebut
Klaim intimidasi dan status saat ini
- Pengacara Berulis, Andrew P. Bakaj, memberi tahu anggota parlemen bahwa pada 7 April, ketika Berulis dan tim hukumnya sedang menyiapkan dokumen whistleblowing, seseorang menempelkan catatan ancaman di pintu rumah Berulis
- Catatan tersebut disebut memuat foto Berulis yang diambil dengan drone saat ia berjalan di lingkungan tempat tinggalnya
- Pengacara mengatakan catatan ancaman itu secara jelas merujuk pada isi pengungkapan yang saat itu hendak diserahkan kepada pengawas Senat
- Tidak diketahui siapa pelakunya, tetapi pengacara hanya menduga bahwa seseorang yang memiliki akses ke sistem NLRB mungkin terlibat
- Berulis mengatakan reaksi teman, rekan kerja, dan publik pada umumnya mendukung, dan ia tidak menyesali keputusannya untuk membuka informasi ini
- Saat ini Berulis sedang mengambil cuti keluarga berbayar dari NLRB, dan ia mengatakan bahwa pegawai DOGE telah mengambil alih seluruh kontrol administrator serta mengunci semua orang, lalu hak akses terbatas akan diberikan sesuai kebutuhan ke depannya
- Materi tambahan: Dokumen whistleblowing Berulis
1 komentar
Opini Hacker News
Seminggu lalu juga sudah ada banyak diskusi terkait hal ini
https://news.ycombinator.com/item?id=43691142
7 hari lalu, 1139 poin, 528 komentar
Artikel terkait: Pernyataan tertulis whistleblower tentang tanda-tanda anomali saat DOGE bekerja di NLRB [pdf] - 16 jam lalu, 13 komentar - https://news.ycombinator.com/item?id=43755298
Seluruh artikel ini terbaca seperti komedi. Akun tersembunyi, upaya login dari Rusia, bahkan ada bagian seperti ini
“Berulis mengatakan kepada KrebsOnSecurity bahwa saat ia membuat tiket dukungan ke Microsoft untuk meminta informasi lebih lanjut tentang akun DOGE, hak akses administrator jaringannya dibatasi. Kini ia berharap anggota parlemen akan meminta Microsoft memberikan lebih banyak informasi tentang apa yang sebenarnya terjadi pada akun tersebut”
Mengapa Microsoft memiliki informasi login dan akun milik lembaga pemerintah? Rasanya lebih baik pakai mainframe di ruang bawah tanah yang tidak punya Windows maupun internet
Pemerintah Prancis/Jerman sedang berinvestasi pada alternatif karena alasan seperti ini: https://www.techspot.com/news/107225-france-germany-unveil-d...
Kalau mengingat Guccifer 2.0, persona itu tidak hanya memakai alamat IP Rusia, tetapi juga memakai IP yang dialokasikan ke gedung markas GRU
Edward Coristine menarik karena pada 2022 ia “dipecat dari perusahaan keamanan siber Path Network atas dugaan membocorkan informasi internal perusahaan kepada pesaing” [1]. Ia terlihat seperti kandidat ideal untuk direkrut badan intelijen asing. Selain itu, ia juga menggunakan akun jejaring sosial kejahatan siber [2]
Saya benar-benar tidak paham bagaimana orang seperti ini bisa terus bekerja di dekat pemerintah
[1] https://en.wikipedia.org/wiki/Edward_Coristine
[2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...
Salah satu tujuan operasi pengaruh Rusia adalah melemahkan kohesi AS, seperti yang pernah kita lihat dalam kasus dukungan terhadap iklan kelompok warga dari berbagai kecenderungan
Selain itu, mencurigakan juga bahwa hal ini terjadi tepat ketika AS sedang bernegosiasi dengan Rusia soal perdamaian Ukraina. Ini menyulitkan rezim yang sedang bernegosiasi dan mendorong perselisihan dengan Rusia. Itu tanda bahwa masalahnya mungkin tidak sederhana
Intelijen itu rumit
DOGE akan menjadi studi kasus yang menarik selama beberapa tahun ke depan. Seorang teman mendapat kontak rekrutmen untuk membantu membangun ulang sistem penerbangan nasional dari nol, dalam bentuk kontraktor 1099 yang melapor langsung kepada Sean Duffy
Perekrut menggambarkannya seperti pekerjaan sampingan yang dilakukan pada malam hari dan akhir pekan, dengan upah per jam yang buruk. Ketika teman saya mengatakan bayarannya jauh lebih rendah daripada yang ia terima saat ini, perekrut membalas bahwa ia akan mendapatkan reputasi pernah bekerja di DOGE
Pada akhirnya saya penasaran berapa banyak yang akan dihabiskan DOGE. Semoga bukan benar-benar puluhan miliar dolar; kalaupun memperhitungkan biaya gugatan dan sebagainya, jika bisa menghemat 100–200 miliar dolar, efek bersihnya mungkin tetap positif
Sayang kalau tulisan ini mati karena dianggap duplikat
Memang benar ceritanya diunggah dua kali. Kiriman pertama[0] sekitar 10 jam lebih tua dan hanya punya 3 komentar. Tulisan ini, saat ditulis, punya 348 komentar. Kalau diskusi yang menarik dianggap penting, jelas yang ini pusatnya
[0] https://news.ycombinator.com/item?id=43758392
Jadi saya bisa mengirim dengan bebas tanpa khawatir. Entah akan digabung ke tulisan yang sudah ada atau menjadi tulisan baru. Kali ini tidak bekerja? URL-nya juga sama. Kadang orang menipu pendeteksi duplikat dengan string kueri acak, tapi dalam kasus ini benar-benar identik. Aneh
“Berulis menemukan bahwa pada 3 Maret, salah satu akun DOGE membuat lingkungan virtual yang tidak transparan bernama ‘container’. Itu dapat digunakan untuk membangun dan menjalankan program atau skrip tanpa mengungkapkan aktivitas ke luar. Berulis mengatakan container itu menarik perhatian karena setelah ia mengecek dengan rekan-rekannya, tidak ada seorang pun di dalam jaringan NLRB yang pernah menggunakan container”
Bagian ini terasa ganjil dibaca karena beberapa alasan
Mengejutkan bahwa ini tidak jelas-jelas masuk ke ranah pengkhianatan
Semua checks and balances sudah digunakan, tetapi gagal
“Rusia mengakses data AS dari IP Rusia”
Hanya saya saja, atau ini terdengar seperti seseorang mencoba menciptakan kaitan dengan Rusia? Mengapa badan intelijen Rusia bertindak seamatir ini? Seolah-olah ingin ketahuan. Cui bono?
Lagi pula, apa yang hendak mereka lakukan dengan data NLRB? Mereka mungkin punya ide, mungkin juga tidak. Tujuannya adalah “kami mengambil datamu, jadi cemaslah.” Ketahuan pun membantu tujuan itu
Dari IP-nya, bisa saja itu koneksi seluler. Tercatat Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFon
Misalnya, salah satu individu yang dikontrak mungkin sedang bepergian ke Rusia karena alasan tertentu dan memakai hotspot miliknya untuk mencoba login
Melihat tingkat inkompetensi yang terungkap di sini, itu tidak mengejutkan. Karena itulah pelapor internal dibutuhkan, dan investigasi dimulai. Sekarang, untuk setiap permintaan informasi yang diperlukan agar investigasi benar-benar berjalan, kita harus menunggu berbulan-bulan atau bertahun-tahun karena birokrasi dan pertarungan hukum. Sangat membuat frustrasi
Jika melihat kemungkinan yang paling masuk akal, laptop salah satu amatir shiba-doge terinfeksi virus, lalu setelah ia membuat akun, kredensialnya otomatis tersedot ke bot farm berbahasa Rusia, dan dari sana botnet melancarkan beberapa serangan otomatis tetapi diblokir firewall wilayah
Bagi orang awam, sekadar menghubungkan titik-titik dan mencapai kesimpulan tampaknya sudah cukup. Orang-orang yang cukup paham teknologi diberi alat yang kuat, tetapi tampaknya tidak mendapat pengawasan menyeluruh tentang konsekuensi tindakan mereka
Mengapa artikel ini menghilang dari halaman depan HN? Baru diunggah 2 jam lalu dan mendapat 649 poin
Karena risiko memicu percakapan yang tidak diinginkan, tulisan itu pada dasarnya dikirim ke ruang hampa