Kode Engineer DOGE Mendukung Klaim Whistleblower NLRB
(krebsonsecurity.com)- Arsitek keamanan NLRB Daniel J. Berulis mengklaim bahwa akun DOGE mengambil lebih dari 10GB data dari berkas kasus sensitif pada awal Maret, dan satu paket kode GitHub yang diunduh terbukti sangat mirip dengan kode milik staf DOGE Marko Elez
- Berulis mengklaim akun yang dibuat untuk DOGE memiliki hak tenant admin dan diminta mendapat pengecualian dari logging jaringan; tingkat aksesnya memungkinkan akses, penyalinan, perubahan data, hingga pembatasan visibilitas log
- Deskripsi kode bermasalah itu menjelaskan pembuatan “pseudo-infinite IPs” memakai kumpulan IP besar AWS API Gateway untuk web scraping dan brute force, serta terkait dengan requests-ip-rotator di GitHub dan async-ip-rotator yang di-fork Elez pada Januari 2025
- Arsip GitHub yang ikut diunduh juga mencakup Integuru, alat reverse engineering API situs web, dan Browserless, browser headless untuk otomatisasi tugas web; semuanya berkaitan dengan konteks scraping dan otomatisasi
- Berkas kasus NLRB berisi informasi karyawan yang ingin membentuk serikat pekerja dan dokumen proprietary perusahaan, sehingga Berulis khawatir jika data ini jatuh ke tangan perusahaan, pihak tergugat dalam sengketa ketenagakerjaan yang sedang berjalan bisa mendapat keuntungan tidak adil
Klaim whistleblower NLRB
- Arsitek keamanan NLRB Daniel J. Berulis mengklaim bahwa pihak-pihak terkait DOGE mengekstraksi data berukuran gigabita dari berkas kasus sensitif lembaga tersebut pada awal Maret
- Menurut laporan whistleblower Berulis, pihak-pihak terkait DOGE bertemu dengan pimpinan NLRB pada 3 Maret dan meminta pembuatan beberapa akun tenant admin dengan hak kuat
- Akun-akun ini diminta dikecualikan dari logging jaringan yang biasanya meninggalkan catatan aktivitas terperinci
- Akun DOGE baru disebut memiliki hak tanpa batas untuk membaca, menyalin, dan mengubah informasi di database NLRB
- Hak tersebut disebut juga memungkinkan pembatasan visibilitas log, penundaan retensi, pengiriman log ke tempat lain, atau penghapusan log sepenuhnya
- Berulis mengklaim akun DOGE diberi hak pengguna tingkat tertinggi yang bahkan tidak dimiliki dirinya maupun atasannya
Unduhan kode GitHub dan alat rotasi IP
- Berulis mengatakan ia menemukan bahwa salah satu akun DOGE mengunduh 3 library kode GitHub eksternal yang tidak pernah digunakan oleh NLRB maupun kontraktornya
- README dari salah satu paket kode itu menjelaskan penggunaan kumpulan IP besar AWS API Gateway seperti proxy untuk membuat “pseudo-infinite IPs” bagi web scraping dan brute force
- Pencarian frasa deskripsi yang sama mengarah ke repositori requests-ip-rotator milik pengguna GitHub Ge0rg3, dan library ini diperkenalkan sebagai alat yang memungkinkan pengelakan pembatasan permintaan berbasis IP
- Deskripsi tersebut berbunyi bahwa ini adalah “library Python yang memanfaatkan large IP pool AWS API Gateway sebagai proxy untuk menghasilkan pseudo-infinite IPs bagi web scraping dan brute forcing”
- Kode Ge0rg3 diperkenalkan sebagai kode open-source yang dapat disalin dan digunakan ulang secara nonkomersial oleh siapa pun
Keterkaitan dengan async-ip-rotator milik Marko Elez
- Ada proyek baru async-ip-rotator yang diturunkan dari requests-ip-rotator milik Ge0rg3, dan staf DOGE Marko Elez melakukan commit ke GitHub pada Januari 2025
- Frasa README dalam berkas GitHub yang disebut whistleblower diunduh oleh pengguna DOGE memiliki deskripsi yang sama dengan kode berbasis fork Elez
- Elez diperkenalkan sebagai salah satu personel utama DOGE yang mengakses sistem pembayaran pusat Treasury Department
- Ia memiliki riwayat bekerja di beberapa perusahaan Musk seperti X, SpaceX, dan xAI
- The Wall Street Journal mengaitkan Elez dengan unggahan media sosial yang mendukung rasisme dan eugenika
- Elez mengundurkan diri setelah kontroversi tersebut, tetapi dipekerjakan kembali setelah mendapat dukungan Presiden Donald Trump dan Wakil Presiden JD Vance
- Menurut Politico, Elez saat ini menjadi pembantu di Labor Department dan ditempatkan di beberapa lembaga, termasuk Department of Health and Human Services
- Politico, mengutip dokumen pengadilan, melaporkan bahwa pada awal masa kerjanya di Treasury, Elez melanggar kebijakan keamanan informasi dengan mengirim spreadsheet berisi nama dan informasi pembayaran kepada pejabat General Services Administration
Alat lain yang ikut diunduh
- Berulis menunjuk Integuru dan Browserless sebagai dua arsip GitHub lain yang diunduh staf DOGE ke sistem NLRB
- Integuru adalah framework perangkat lunak yang dirancang untuk melakukan reverse engineering terhadap application programming interface (API) yang dipakai situs web saat mengambil data
- Browserless adalah browser headless untuk otomatisasi tugas berbasis web
- Web scraping
- Pengujian otomatis
- Dapat digunakan untuk tugas yang membutuhkan pool beberapa browser
Kritik kualitas kode dan penghapusan repositori
- Pada 6 Februari, seseorang mengunggah kritik panjang di halaman issues GitHub async-ip-rotator milik Elez dan menyebut kode tersebut “insecure, unscalable and a fundamental engineering failure”
- Kritik itu menyatakan bahwa jika kode ini sekadar proyek sampingan sederhana, ia hanya buruk; tetapi jika implementasi serupa diterapkan di lingkungan yang menangani data sensitif, maka harus segera diaudit
- Setelah artikel dipublikasikan, repositori kode Elez dihapus
- Versi arsip dari repositori yang dihapus masih tersedia di sini
Sensitivitas data NLRB dan dampaknya pada sengketa ketenagakerjaan
- Laporan whistleblower Berulis mengklaim akun DOGE mengunduh lebih dari 10GB dari database berkas kasus NLRB
- Database ini memuat banyak catatan sensitif, termasuk informasi terkait karyawan yang ingin membentuk serikat pekerja dan dokumen bisnis proprietary perusahaan
- Berulis mengatakan ia tampil ke publik karena atasannya memintanya untuk tidak melaporkan persoalan ini ke US-CERT, bertentangan dengan kesepakatan sebelumnya
- Berulis khawatir jika transfer data tanpa izin itu benar terjadi, maka hal tersebut dapat memberi pihak tergugat keuntungan tidak adil dalam banyak sengketa ketenagakerjaan yang tertunda di NLRB
- Ia mengatakan perusahaan mana pun akan memperoleh keuntungan tidak adil jika mendapatkan data kasus
- Ia mengatakan perusahaan dapat mengidentifikasi karyawan dan organizer serikat pekerja lalu memecat mereka tanpa menyebutkan alasannya
Situasi hukum di sekitar NLRB
- Setelah Presiden Trump memecat 3 anggota dewan, NLRB kehilangan quorum yang diperlukan untuk berfungsi, sehingga pada dasarnya berada dalam kondisi terbatas
- Amazon dan SpaceX milik Musk sedang menggugat NLRB terkait complaint yang diajukan NLRB dalam sengketa mengenai hak pekerja dan pengorganisasian serikat
- Kedua perusahaan tersebut pada intinya berargumen bahwa keberadaan NLRB sendiri inkonstitusional
- Pada 5 Maret, pengadilan banding AS dengan suara bulat menolak argumen pihak Musk bahwa struktur NLRB melanggar Konstitusi
- KrebsOnSecurity meminta komentar kepada NLRB dan DOGE, dan menyatakan akan memperbarui artikel jika ada tanggapan
1 komentar
Pendapat di Hacker News
Kode Ge0rg3 adalah open source dalam arti siapa pun dapat menyalin dan menggunakannya kembali untuk tujuan nonkomersial, dan “async-ip-rotator” yang diunggah Marko Elez dari DOGE ke GitHub pada Januari 2025 tampaknya merupakan fork turunan dari kode ini
Kode asli: https://github.com/Ge0rg3/requests-ip-rotator
Fork: https://github.com/markoelez/async-ip-rotator
Kodenya hampir sama, hanya komentarnya dihapus, lalu sedikit ditaburi
asyncdan diubah kecil-kecilan, sehingga terlihat seperti ditempelkan ke LLM lalu diminta diubah menjadi asynchronous. Namun lisensi GPL3 aslinya hilang, dan sepertinya itu bukan sesuatu yang akan dipahami atau dihormati oleh orang-orang DOGEHalaman repositori yang diarsipkan: https://archive.ph/LI7tt; arsip jumlah repositori sebelumnya: https://archive.ph/tgkg5
0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
Isinya kira-kira: “Kalau ini hanya side project, maka masalahnya berhenti pada kode yang buruk; tetapi jika ini adalah cara membangun sistem produksi, ada kekhawatiran yang jauh lebih besar. Implementasi ini rusak secara mendasar, dan jika sesuatu yang mirip diterapkan di lingkungan yang menangani data sensitif, itu harus segera diaudit”
Menghapus lisensi dari salinan pribadi sepenuhnya dimungkinkan berdasarkan ketentuan lisensi, dan mengunggahnya ke repositori GitHub privat juga tidak bermasalah. Namun jika karena alasan seperti batasan repositori privat gratis seseorang menaruhnya di repositori publik tanpa niat mendistribusikan, statusnya menjadi ambigu
Bagian dari pengungkapan whistleblower ini tampak jauh lebih serius
Sekitar 11 Maret 2025, metrik NxGen disebut menunjukkan penggunaan abnormal pada suatu waktu tertentu pada pekan sebelumnya, dengan waktu respons jauh di atas baseline dan lonjakan output jaringan yang lebih tinggi daripada kapan pun sebelumnya. Ini hampir bertepatan dengan peristiwa eksfiltrasi data, dan login dari luar negeri yang diblokir oleh kebijakan akses juga meningkat
Misalnya, dalam beberapa hari setelah DOGE mengakses sistem NLRB, pengguna dengan alamat IP dari Primorskiy Krai di Rusia mulai mencoba login; upaya itu diblokir, tetapi disebut sangat mengkhawatirkan. Login tersebut menggunakan salah satu akun baru yang dipakai dalam aktivitas terkait DOGE, dan karena alur autentikasinya baru berhenti pada kebijakan pemblokiran login luar negeri, tampaknya mereka memiliki nama pengguna dan kata sandi yang benar. Ada lebih dari 20 percobaan seperti ini, dan yang sangat mengkhawatirkan, banyak di antaranya terjadi dalam 15 menit setelah para engineer DOGE membuat akun
Penafsiran terburuk lebih sederhana: mereka bekerja sebagai agen Rusia dan membiarkan Rusia masuk, atau memasang keylogger untuk kepentingan Rusia
Ini adalah bukti yang kuat mengindikasikan personel DOGE melakukan scraping menggunakan beberapa alamat IP cloud
Menurut pengungkapan whistleblower, pada 3 Maret personel DOGE bertemu pimpinan NLRB dan meminta dibuatkan beberapa akun “tenant admin” dengan wewenang penuh yang dikecualikan dari network logging yang mencatat secara rinci semua aktivitas akun tersebut
Dengan pisau cukur Occam, situasinya tampak cukup jelas, tetapi saya bertanya-tanya apakah ada alasan sah untuk permintaan seperti ini
Karena tidak ada audit trail, mereka juga tidak bisa menunjukkan bukti bahwa temuan itu tidak direkayasa. Kalau nanti mereka mengklaim ada orang berusia 170 tahun menerima cek jaminan sosial, tidak ada cara membuktikan bahwa mereka tidak mengurangi tanggal lahir 100 tahun di suatu tabel
Tampaknya cukup jelas bahwa staf DOGE mengakses data yang seharusnya tidak boleh mereka akses
Menurut artikel tersebut, DOGE mendapat akses ke akun dengan hak baca dan ubah yang sangat luas, dan seseorang dari DOGE mungkin telah mengunduh data 10 GB. Cara penggunaannya mungkin ilegal, atau akses itu sendiri sejak awal mungkin ilegal. Tidak jelas juga apakah presiden bisa memberikan hak akses semacam itu; secara pribadi saya rasa tidak bisa
Selain itu, seorang staf DOGE mengunduh kode yang bisa menggunakan kumpulan IP AWS yang sangat besar untuk melewati pembatasan, kode itu ditulis dengan buruk, dan orang tersebut juga pernah melontarkan pernyataan rasis
Namun saya tidak begitu paham keuntungan apa yang diberikan metode scraping otomatis halaman web dengan alamat IP AWS yang “tak terbatas” untuk menyalin data yang sangat sensitif dari basis data internal NLRB. Jika sistem berisi data super-sensitif dapat diakses dari IP eksternal dan mengizinkan 10 ribu sesi login bersamaan dengan satu akun untuk mengeruk DB internal, berarti sistemnya rusak parah. Atau apakah maksudnya kode ini diubah agar memakai 100 atau 10 ribu IP internal NLRB, itu juga saya pertanyakan. Otomatisasi yang disebutkan belakangan lebih masuk akal sebagai alat bantu kerja
Tampaknya CEO Tesla dan SpaceX, yang mengklaim dirinya ber-IQ tinggi dan dikenal sebagai programmer, pada dasarnya mempekerjakan script kiddie untuk pasukan elite Delta Force guna memangkas teknologi pemerintah
Namun kemudian saya terkejut mendengar penilaian bahwa pada masa awal SpaceX, Musk adalah pemimpin yang kompeten dan piawai. Mungkin saja itu hasil kultus individu, tetapi terasa cukup masuk akal. Saat itu ia tampaknya tidak berakting seolah dirinya insinyur terbaik, dan tahu posisinya sebagai manajer engineering. Ia mungkin mirip manajer hebat yang tidak bisa menulis kode, tetapi memahami software dengan baik, dan tahu kapan harus coding sendiri serta kapan mendorong lewat desain
Pada akhirnya ketenaran seperti obat yang kuat. Saya tidak menganggap Musk secara khusus “ber-IQ tinggi”, dan melihat pernikahan pertamanya pun ia tampaknya sejak dulu adalah pecundang misoginis, tetapi pemujaan terhadapnya sebagai “Tony Stark di dunia nyata” tampaknya merusak otaknya. Ketamine juga tidak akan membantu
Orang-orang seperti itu mencari “yang terbaik dari yang terbaik” versi imajinasi mereka dan menempatkannya di sekitar mereka, lalu menjadi sangat penting bagi ego mereka agar keyakinan itu tidak ditantang. Mereka buta terhadap bukti yang berlawanan, dan orang-orang yang mereka “temukan” harus luar biasa agar kemampuan mereka memilih talenta tervalidasi
Sepertinya hal itu juga terjadi di sini. Orang-orang di sekitar Elon tidak tampak terlalu istimewa dan kemampuannya sangat meragukan, tetapi untuk menopang mitos dirinya, ia membutuhkan harem “Super Coders”
Pesannya adalah beberapa anak muda jurusan ilmu komputer biasa yang bahkan belum cukup umur untuk menyewa mobil pun bisa menghemat puluhan miliar dolar hanya dengan meninjau informasi keuangan paling dasar dari kementerian/lembaga pemerintah. Artinya mereka seharusnya bukan “Delta Force”, melainkan intern
Saya tidak bermaksud membela cara demi tujuan, tetapi saya berharap pajak digunakan lebih efisien. Pada saat yang sama, tingkat hak akses yang diberikan kepada mereka sangat mengkhawatirkan, dan praktis tidak ada akuntabilitas
Bahkan jika mengabaikan siapa Marko, aneh mengapa orang acak memasang serangan terbuka seperti itu di repositori. Saya tidak pernah melihat repositori yang kebetulan lewat lalu ingin menyerangnya, dan kritik itu juga berbau buatan AI
Link kutipan: https://github.com/markoelez/async-ip-rotator/issues/1
Komentar-komentar setelahnya juga merupakan interaksi yang cukup aneh dan menarik untuk disebut kebetulan
Karena kejadian itu, sangat mungkin ada orang yang penasaran seberapa baik kemampuan coding-nya yang sebenarnya, lalu melihat repositori yang ia buat. Setelah itu Musk mengadakan “voting” di X apakah akan mempekerjakan kembali Elez di DOGE, dan pada 20 Februari Elez kembali memiliki alamat email pemerintah AS, lalu pada 21 Februari dilaporkan bekerja untuk DOGE di Social Security Administration
Fakta bahwa paket-paket seperti ini dibiarkan terbuka untuk publik di GitHub itu sendiri terasa aneh. Entah mereka tidak tahu bahwa itu bisa dibuat privat, atau terus terang ini menunjukkan betapa bodohnya orang-orang ini
Lihat saja daftar grasi yang diberikan pemerintahan ini. Mereka bahkan tidak akan didakwa
Seseorang harus masuk penjara karena ini. Ini bukan sekadar kesalahpahaman, melainkan serangan yang disengaja terhadap semua warga Amerika
Deep state yang mereka khawatirkan adalah ini, dan sepatu bot yang akan menginjak mereka juga ini
Edit: komentar induk tadinya berada di peringkat tertinggi di artikel ini, tetapi sekarang ada di paling bawah?
Jika alat untuk mencegah Kongres dan pemerintahan berikutnya membereskannya bukan grasi, alternatifnya terlalu suram untuk dipikirkan
Akses penuh ke basis data pemerintah dengan cara yang tidak dapat dilacak itu membuat dampak lanjutannya sulit dibayangkan
Saya hanya berharap ada cukup dasar agar orang-orang menanggapinya serius. Berapa banyak kasus yang mungkin masih tersisa untuk terungkap, biarlah pembaca yang menilai
Saya tidak tahu persis apa yang sedang diklaim. Apakah maksudnya orang-orang DOGE menulis/menggunakan kode “hacker” dari GitHub untuk melewati pembatasan keamanan data NLRB? Kalau mereka sudah punya akun superuser di sistem, saya bertanya-tanya mengapa perlu melakukan hal seperti itu
Saya sarankan membaca dokumen laporannya: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...