Kode insinyur DOGE mendukung klaim pelapor pelanggaran internal NLRB

 (krebsonsecurity.com)
2 poin oleh GN⁺ 2025-04-24 | 1 komentar | Bagikan ke WhatsApp
  • Pelapor internal NLRB mengklaim bahwa departemen DOGE di bawah Elon Musk mengunduh lebih dari 10GB data sengketa ketenagakerjaan sensitif tanpa izin
  • Akun DOGE menghindari pemantauan log dengan hak administrator dan mengunduh tiga kode dari GitHub eksternal, salah satunya mencakup teknologi rotasi IP yang digunakan untuk web scraping dan serangan brute-force
  • Pegawai kunci Marko Elez mengunggah versi terbaru teknologi ini ke GitHub, dan merupakan sosok yang sebelumnya menuai kontroversi karena pelanggaran aturan keamanan informasi serta pernyataan kontroversial
  • Kode lain yang diunduh mencakup alat reverse engineering API Integuru dan browser otomatis Browserless
  • Kualitas kode Elez dikritik keras di GitHub, dan repositorinya kemudian dihapus

Akses akun DOGE ke informasi sensitif

  • Pelapor internal Daniel J. Berulis mengklaim bahwa staf DOGE pada 3 Maret meminta pembuatan akun administrator dengan hak tertinggi (tenant admin) di NLRB
  • Akun-akun ini dikecualikan dari seluruh pemantauan log jaringan dan memungkinkan membaca/menyalin/mengubah data serta memanipulasi log
  • Berulis dan atasannya tidak memiliki hak seperti ini, tetapi DOGE mendapatkannya

Unduhan kode GitHub dan alat rotasi IP

  • Akun DOGE mengunduh tiga repositori GitHub eksternal, salah satunya adalah library yang menghasilkan “pseudo-infinite IPs”
  • Library ini digunakan untuk web scraping dan upaya login brute-force
  • Kode ini diturunkan dari requests-ip-rotator buatan pengguna GitHub Ge0rg3, dan Marko Elez membuat async-ip-rotator berdasarkannya pada Januari 2025

Marko Elez dan kontroversinya

  • Marko Elez berasal dari sejumlah perusahaan Musk seperti X, SpaceX, xAI, dan saat ini berada di bawah Departemen Tenaga Kerja serta ditugaskan ke beberapa lembaga pemerintah
  • Saat bekerja di Departemen Keuangan, ia pernah memicu kontroversi karena kebocoran informasi sensitif, lalu dipecat setelah kontroversi pernyataan rasis sebelum akhirnya dipekerjakan kembali
  • Politico melaporkan bahwa Elez sebelumnya melanggar kebijakan keamanan tingkat tinggi

Kode tambahan yang diunduh dan kontroversi keamanan

  • Repositori GitHub tambahan yang diunduh adalah:
    • Integuru: framework untuk melakukan reverse engineering API situs web
    • Browserless: alat otomasi web yang memanfaatkan pool browser
  • Pengguna GitHub menyoroti masalah serius pada keamanan dan skalabilitas async-ip-rotator
    • Dinilai bahwa, "jika kode ini dipakai di sistem tingkat produksi, audit keamanan harus segera dilakukan"

Lumpuhnya fungsi NLRB dan latar belakang politik

  • Presiden Trump memecat tiga anggota dewan NLRB, sehingga fungsi lembaga itu praktis lumpuh
  • Saat ini Amazon dan SpaceX sedang menggugat dengan dalih NLRB melanggar konstitusi, tetapi pada 5 Maret pengadilan banding menolak klaim tersebut
  • Berulis memperingatkan bahwa kebocoran data ini dapat memberi keunggulan tidak adil dalam sengketa ketenagakerjaan kepada perusahaan tertentu
    • "Hal ini dapat memungkinkan identifikasi pengorganisir serikat pekerja lalu memecat mereka"

Bacaan terkait

1 komentar

 
GN⁺ 2025-04-24
Opini Hacker News

  • Kode Ge0rg3 bersifat "open source", sehingga siapa pun dapat menyalin dan menggunakannya kembali untuk tujuan nonkomersial

    • Versi baru turunan dari kode ini, "async-ip-rotator", di-commit ke GitHub oleh Marko Elez dari DOGE pada Januari 2025
    • Hampir identik dengan kode asli, tetapi komentarnya dihapus, ditambahkan sedikit async, dan ada perubahan kecil
    • Namun, lisensi GPL3 asli telah dihilangkan
    • Sulit berharap orang-orang DOGE memahami atau menghormati hal itu

  • Menurut pengaduan whistleblower Daniel J. Berulis, sekitar 11 Maret 2025 metrik NxGen menunjukkan penggunaan yang tidak normal

    • Setelah DOGE mengakses sistem NLRB, pengguna dengan alamat IP dari Primorsky Krai, Rusia mulai melakukan percobaan login
    • Percobaan ini diblokir, tetapi dianggap sangat mengkhawatirkan
    • Percobaan login dilakukan menggunakan salah satu akun yang baru dibuat dan digunakan dalam aktivitas terkait DOGE, dan alur autentikasi diblokir karena kebijakan login dari luar negeri
    • Percobaan login seperti ini terjadi lebih dari 20 kali, dan yang sangat mengkhawatirkan adalah banyak percobaan terjadi dalam 15 menit setelah akun dibuat oleh engineer DOGE

  • Pegawai DOGE mengakses data yang seharusnya tidak boleh mereka akses

    • DOGE mungkin telah mengakses akun dengan hak istimewa sangat besar dan mengunduh 10GB data
    • Data ini mungkin telah digunakan secara ilegal
    • Tidak jelas apakah POTUS dapat mengizinkan akses semacam itu

  • Pegawai DOGE mengunduh kode yang dapat menggunakan kumpulan alamat IP AWS untuk melewati pembatasan

    • Kodenya ditulis dengan buruk
    • Mungkin seorang rasis

  • Dipertanyakan bagaimana pegawai DOGE bisa mendapat keuntungan dengan menggunakan alamat IP AWS yang "tak terbatas" untuk melakukan screen-scraping otomatis pada halaman web dan menyalin data sensitif dari basis data internal NLRB

    • Dipertanyakan apakah 10.000 sesi secara bersamaan mengautentikasi ke basis data dan melakukan scraping data
    • Jika ada sistem yang memungkinkan data sangat sensitif diakses dari IP eksternal dan satu akun login 10.000 kali untuk melakukan scraping data, maka ada masalah

  • Kritik terhadap kode Marko Elez diposting di halaman GitHub "issues"

    • Kode itu dinilai sebagai "tidak aman, tidak dapat diskalakan, dan kegagalan rekayasa yang mendasar"
    • Kritik ini tampak seperti dibuat oleh AI

  • Ada klaim bahwa CEO Tesla dan Space-X mempekerjakan script kiddie

  • Ada yang berpendapat seseorang harus masuk penjara karena ini

    • Ini bukan sekadar kesalahpahaman, melainkan serangan yang disengaja terhadap semua warga Amerika

  • Kritik terhadap paket yang dipublikasikan di GitHub

    • Tampaknya mereka tidak tahu bahwa paket itu bisa dijadikan privat

  • Ada kekhawatiran tentang akses penuh tanpa jejak ke basis data pemerintah

  • Berulis mengklaim ia mengungkapkannya karena atasannya melarang pelaporan ke US-CERT

    • Jika klaim ini benar, muncul pertanyaan apa motivasi para atasan untuk merahasiakannya
    • Bagian lain dari pemerintah federal mungkin juga rentan terhadap pelaku ancaman yang sama
    • Dipertanyakan apakah para atasan melaporkan krisis keamanan ini melalui saluran yang lebih baik, atau justru berusaha menutupinya sepenuhnya