3 คะแนน โดย GN⁺ 2025-02-15 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • พบว่า doge.gov ซึ่งติดตามสถานะการลดขนาดรัฐบาลกลางของ Elon Musk ดึงข้อมูลจากฐานข้อมูลที่บุคคลภายนอกสามารถแก้ไขได้
  • ผู้พบช่องโหว่ 2 คนบอกกับ 404 Media ว่าสามารถทำ การเขียนโดยบุคคลที่สาม ได้ และข้อความที่ใส่เข้าไปจะแสดงบนเว็บไซต์จริง
  • โค้ดเดอร์รายหนึ่งเพิ่มรายการฐานข้อมูลอย่างน้อย 2 รายการที่มองเห็นได้บนไซต์จริง โดยมีข้อความล้อเลียนไซต์ .gov และชี้ว่าฐานข้อมูลถูกเปิดไว้
  • เว็บไซต์ถูกปล่อยใช้งานอย่างเร่งรีบหลังจาก Musk บอกว่าจะโพสต์กิจกรรมของ DOGE ลงใน บัญชี @DOGE บน X และเว็บไซต์ DOGE ต่อมาจึงเพิ่มมิเรอร์โพสต์และสถิติกำลังคนของรัฐบาลกลาง
  • ผู้เชี่ยวชาญด้านเว็บดีเวลลอปเมนต์ 2 คนที่ไม่เปิดเผยชื่อมองว่า doge.gov น่าจะสร้างอยู่บน Cloudflare Pages ไม่ใช่เซิร์ฟเวอร์ของรัฐบาล และโค้ดที่รันจริงก็น่าจะถูก deploy อยู่ที่นั่น

ฐานข้อมูล doge.gov ที่บุคคลภายนอกแก้ไขได้

  • doge.gov เป็นเว็บไซต์ที่สร้างขึ้นเพื่อติดตามกิจกรรมลดขนาดรัฐบาลกลางของ Elon Musk
  • ผู้พบช่องโหว่ 2 คนบอกกับ 404 Media ว่าไซต์นี้ดึงข้อมูลจากฐานข้อมูลที่ใครก็แก้ไขได้
  • ตรวจสอบพบว่าเมื่อบุคคลภายนอกเขียนรายการลงในฐานข้อมูล รายการนั้นจะแสดงบน เว็บไซต์จริง

รายการที่แทรกและแสดงบนไซต์จริง

  • โค้ดเดอร์รายหนึ่งเพิ่มรายการอย่างน้อย 2 รายการลงในฐานข้อมูล และรายการเหล่านั้นปรากฏให้เห็นบนไซต์ doge.gov จริง
    • “this is a joke of a .gov site”
    • “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
  • รายการทั้งสองถูกจัดการเป็นรายการที่แสดงบน หน้า workforce ของ doge.gov

เว็บไซต์ DOGE ที่ถูกขยายอย่างเร่งรีบ

  • doge.gov ถูกปล่อยใช้งานอย่างเร่งรีบหลังจาก Elon Musk บอกกับผู้สื่อข่าวว่า Department of Government Efficiency “พยายามให้โปร่งใสมากที่สุดเท่าที่จะทำได้”
  • Musk กล่าวว่าจะโพสต์การดำเนินการของ DOGE ลงใน แฮนเดิล DOGE บน X และเว็บไซต์ DOGE
  • ตอนนั้นเว็บไซต์ DOGE แทบจะเป็นหน้าเปล่า
  • ต่อมาในวันพุธและวันพฤหัสบดี ไซต์ถูกพัฒนาต่อและเพิ่มฟีเจอร์ดังนี้
    • มิเรอร์ โพสต์จากบัญชี @DOGE บน X
    • สถิติต่าง ๆ เกี่ยวกับกำลังคนของรัฐบาลกลางสหรัฐฯ

เบาะแสการ deploy บน Cloudflare Pages

  • ผู้เชี่ยวชาญด้านเว็บดีเวลลอปเมนต์ 2 คนที่ขอไม่เปิดเผยชื่อมองว่า doge.gov น่าจะสร้างอยู่บนไซต์ Cloudflare Pages
  • ทั้งสองขอไม่เปิดเผยชื่อเพราะกำลังตรวจสอบเว็บไซต์ของรัฐบาลกลางอยู่
  • ทั้งสองคนกล่าวว่า ณ ตอนนี้ doge.gov ดูเหมือนไม่ได้โฮสต์อยู่บนเซิร์ฟเวอร์ของรัฐบาล
  • ฐานข้อมูลที่ไซต์ดึงมาใช้นั้นบุคคลที่สามสามารถเขียนได้ และเนื้อหาที่บุคคลที่สามเขียนก็แสดงอยู่บนเว็บไซต์จริงแล้ว
  • แหล่งข่าวทั้งสองยืนยันว่า doge.gov ดึงข้อมูลจาก เว็บไซต์ Cloudflare Pages ที่มีโค้ดสำหรับรันจริงถูก deploy อยู่

1 ความคิดเห็น

 
GN⁺ 2025-02-15
ความคิดเห็นจาก Hacker News
  • https://archive.ph/wy1Wt

  • U.S. Digital Service (USDS) มีความเชี่ยวชาญในการสร้างและเผยแพร่เว็บไซต์แบบสแตติกสำหรับรัฐบาลกลางมาตั้งนานแล้วตั้งแต่ก่อนจะถูกรวมเข้า DOGE และก็ทำทุกขั้นตอนอย่างเปิดเผยมาโดยตลอด
    ใช้เวลาไม่กี่นาทีก็โคลนทั้งเว็บไซต์ usds.gov ที่สร้างด้วย Jekyll ได้ทั้งหมด (แอสเซ็ตและเอกสาร 2,700 รายการ, 150MB) แล้วนำไป deploy ใหม่บนเครื่องโลคัลหรือ S3 ได้ โดยมีคำแนะนำการ deploy เขียนไว้ครบทั้งหมด: https://github.com/usds/website

    • เมื่อก่อนผมรู้จัก USDS จาก Hacker News และประทับใจมาตลอด ถ้ามีใครอยากสร้าง “DOGE” ด้วยความหวังดีจริง ๆ คืออยากเพิ่มประสิทธิภาพแทนที่จะทำลายรัฐบาล ก็น่าจะเป็นการขยาย อำนาจและขอบเขตขององค์กรแบบ USDS
    • การมี ขั้นตอนปฏิบัติงานมาตรฐาน (SOP) สำหรับคอนเทนต์แบบสแตติกทำให้รู้สึกว่าค่อนข้างดี
      ผมเขียน SOP หลายฉบับทุกวัน และหลักการคือ ต่อให้จำได้แค่ชื่อแล้วลืมอย่างอื่นหมด ก็ยังควรกลับไปหาเอกสาร อ่านทบทวนใหม่ และทำให้ได้ผลลัพธ์เกือบเหมือนเดิมได้ ในเอกสารโซเวียตยุคทศวรรษ 1950 ก็ยังหาอะไรที่คล้าย SOP สมัยใหม่ได้ แต่เอกสารของกองทัพเรือสหรัฐอย่าง SOP การพับผ้าหรือ SOP การอาบน้ำของทหารนั้นใช้งานได้จริงเป็นพิเศษ
    • กำลัง deploy เว็บไซต์รัฐบาลกลางที่เป็นเป้าหมายของผู้โจมตีระดับรัฐชาติ แต่กลับรัน เชลล์สคริปต์ ตรง ๆ จากเว็บสาธารณะงั้นหรือ?
      ใน Dockerfile มี curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.sh
    • เห็นการเปลี่ยนแปลงล่าสุดแล้ว แต่สงสัยว่าสำหรับการเก็บบันทึกจะดู timestamp ก่อนหน้า ได้ด้วยไหม
  • อยากคุยเรื่องการแฮ็กเอง มีใครอธิบายได้ละเอียดกว่าว่า “เปิดฐานข้อมูลทิ้งไว้” ไหม? ผมมาที่นี่ก็เพื่อดูเรื่องนั้นให้ชัด แต่ยังไม่เห็นคำอธิบาย

    • มีคนลอง de-minify JavaScript แล้วพบว่า REST endpoint หลายตัวข้างในเป็น CRUD endpoint ที่ไม่มีการตรวจสอบสำหรับใช้งานกับเว็บไซต์
      https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
    • ตามแหล่งข่าวของผม มี API endpoint ที่ไม่ปลอดภัย ซึ่งสามารถแก้ไขได้อยู่
    • แค่บอกว่า “บุคคลที่สามสามารถเขียนข้อมูลลงฐานข้อมูลที่เว็บไซต์อ่าน และเนื้อหานั้นก็แสดงบนเว็บไซต์จริง” ยังมีข้อมูลไม่พอจะฟันธง
      อาจเป็น SQL injection หรืออาจเป็นกรณีที่ credential ถูกเปิดเผยในฝั่งฟรอนต์เอนด์ก็ได้
    • ผมโหวตให้เป็น SQL injection
    • บทความติด paywall แต่ฟังดูแล้วเหมือนเรื่องนี้จำกัดอยู่แค่ Twitter feed ที่แสดงบนเว็บไซต์
      โดยพื้นฐานเว็บไซต์โฮสต์อยู่บน Cloudflare และดูเหมือนว่าไม่ใช่การแทรกเข้าไปใน Twitter feed จริงของ DOGE แต่เป็นการสอดทวีตปลอมเข้าไปในข้อมูลที่เว็บไซต์บันทึกไว้ ข้อมูลจริงคงไม่ได้รั่วออกมา
  • น่าขันตรงที่ข้อมูล WHOIS ชี้ไปที่ CISA หรือ Cybersecurity and Infrastructure Security Agency ทำให้อุ่นใจขึ้นเยอะเลย

    • ระเบียน .gov ทั้งหมดชี้ไปที่ CISA อยู่แล้ว นี่เป็นขั้นตอนมาตรฐานเพราะเป็นหนึ่งในข้อกำหนดสำหรับการได้โดเมน .gov ในสหรัฐฯ
    • https://www.npr.org/2025/02/06/nx-s1-5288883/cisa-staffers-deferred-resignations-doge
    • ถ้าคิดว่าทุกอย่างเป็นของตัวเอง ก็แปลว่าไม่มี ภัยคุกคามจากภายนอก สินะ
  • เว็บไซต์แสดงรายการเงินที่ประหยัดได้บอกว่าจะโชว์ ใบเสร็จ ภายในวันวาเลนไทน์
    https://www.doge.gov/savings
    ตอนนี้เปลี่ยนเป็น “จะเผยแพร่ใบเสร็จในช่วงสุดสัปดาห์!” แล้ว ครั้งหน้าก็คงเป็น “เว็บไซต์พร้อมสำหรับใบเสร็จแล้ว”

    • พูดแบบเดียวกับ คำสัญญาอื่น ๆ ของ Musk อย่าง FSD ใช่ไหม?
    • ดูเหมือนจะเริ่มอัปโหลดข้อมูลบางส่วนแล้ว ผมไม่รู้ว่า FPDS คืออะไร แต่เอกสารทั้งหมดดูเหมือนเรนเดอร์ออกมาด้วย ธีม OSX Aqua
      รายการตัดงบหลายอย่างตอนแรกดูเหมือน “สมเหตุสมผล” แต่พอรู้ว่า “ตัดการสมัครนิตยสาร” จริง ๆ คือ “ตัดแหล่งข่าวการเงินของ Consumer Financial Protection Bureau” หรือ “ไม่ต่ออายุสมาชิกข่าวที่น่าเชื่อถือสำหรับคนที่จำเป็นต้องเข้าใจสถานการณ์บ้านเมืองจริง ๆ” มันก็เปลี่ยนไปเลย
      ยังมีการตัดงบการฝึกอบรม DEI/ความหลากหลายจำนวนมาก ซึ่งดูเหมือนจะไม่ได้เป็นสงครามกับการ “ปฏิบัติต่อผู้คนอย่างมีน้ำใจจริง ๆ” เท่าไร แต่เป็นการเล่นงานกลุ่มที่ช่วยให้พนักงานให้บริการได้ดีขึ้น ลองนึกถึงการลด DEI ใน SNAP ดูก็ได้ ตามเอกสารที่ระบุว่าเป็นข้อมูลจาก USDA มีคนจาก 5 กลุ่มชาติพันธุ์และ “ไม่ทราบเชื้อชาติ” ลงทะเบียนใน SNAP อยู่ ลองจินตนาการว่าควรฝึกคนให้เข้าใจ ปฏิสัมพันธ์ และช่วยเหลือผู้คนจากพื้นเพชาติพันธุ์ที่หลากหลายซึ่งต้องการความช่วยเหลือแบบนี้อย่างไร
      ความเห็นอกเห็นใจและความเข้าใจเป็นทักษะที่ดีมากสำหรับงานแบบนี้ และผมมองว่า DEI มอบการฝึกแบบนั้นให้กับทุกฝ่ายที่เกี่ยวข้อง ความเชื่อฝั่งขวาคือ DEI เป็นการเหยียดเชื้อชาติและต่อต้านคนผิวขาว แต่กลับมองข้ามว่าคนที่ไม่ใช่คนผิวขาวก็อาจต้องการการฝึกนี้เหมือนกัน DEI คือการทำความเข้าใจความแตกต่าง แต่ฝ่ายขวาดูจะอ่านมันเป็น “การทำความเข้าใจคนที่ไม่ใช่คนผิวขาว” และไม่พอใจแม้แต่ความจริงที่ว่าควรต้องคิดถึงวัฒนธรรมอื่นด้วย
      อีกงบที่ถูกตัดคือการฝึกอบรมด้านเพศสภาพ และการฝึกนั้นมีไว้สำหรับสำนักงานที่เกี่ยวข้องกับเทคโนโลยีและวิศวกรรม วงการนั้นมีชื่อเสียมานานว่าเป็นพื้นที่ที่ผู้ชายครอบงำ ดังนั้นก็เข้าใจได้ว่าการฝึกแบบนี้มีประโยชน์ ผมเคยได้ยินว่าผู้คนพูดและปฏิบัติต่อผู้หญิงกับคนเควียร์ในอุตสาหกรรมเทคโนโลยีอย่างไร จึงคิดว่าจำเป็นต้องมีการฝึก โปรแกรมเหล่านี้ไม่ได้มีไว้เพื่อยัดเยียดให้คนคิดอะไร ถ้าใครไม่มีความสามารถจะปฏิสัมพันธ์กับโลกอย่างมีความเห็นอกเห็นใจ การอบรมในที่ทำงานก็คงเปลี่ยนเขาไม่ได้ แต่สามารถบอกได้ว่าในบริบทแบบมืออาชีพควรปฏิสัมพันธ์และทำงานอย่างมีประสิทธิผลอย่างไร ในบริษัทก็เพื่อทำเงินให้มากขึ้น ส่วนในรัฐบาลก็เพื่อช่วยผู้คนให้มากขึ้น รวมถึงทั้งพนักงานและชุมชนที่รับบริการ
      สุดท้ายแล้ว Trump ก็ทำตามที่ตัวเองพูดไว้ และรายละเอียดก็มืดมน
  • เดินให้ไวแล้วทำพัง เวอร์ชันรัฐบาล

  • DOGE ดูจะเข้ากับ “Vox Populi, Vox Dei” มากกว่า Twitter เสียอีก

  • ถ้ามีพวกนี้อยู่ แล้วจะต้องมีศัตรูไปทำไม?

  • อาจต้องไล่เด็กพวกนั้นออกแล้วแทนที่ด้วย วิศวกรตัวจริง
    ถ้าในนั้นมีบางคนอ่าน Hacker News อยู่ ก็ขอแนะนำว่าเลิกใช้ ChatGPT แล้วไปเรียนรู้ให้เข้าใจจริง ๆ ว่าตัวเองกำลังทำอะไร

    • วิศวกรตัวจริงคงต้องการค่าตอบแทนและชั่วโมงทำงานที่สมเหตุสมผล และคงไม่เข้าใจผิดว่าหัวหน้าเป็นพระเจ้าที่มีชีวิตอยู่
      แถมอาจมีทั้งความมั่นใจและศีลธรรมด้วย ซึ่งดูเหมือนจะเป็นเหตุให้ตกไปเลย
    • อย่างน้อยเรื่องที่ทุกคนเด็กมากก็อธิบายได้ว่าทำไมฉันถึงไม่เคยได้แม้แต่สัมภาษณ์ อายุ 28 ก็แก่เกินไปแล้วสำหรับการได้งานที่นั่น
    • คนพวกนี้ไม่ใช่มืออาชีพที่ขยันขันแข็ง แต่เป็น พวกอุดมการณ์จัด
    • คนที่ต้องการคือต้องมีครบสามข้อ: เป็นวิศวกรเก่งและมีประสบการณ์, ไม่มีจริยธรรม, และพอใจกับค่าตอบแทนที่ต่ำกว่าราคาตลาดของวิศวกรเก่งมีประสบการณ์ที่ไร้จริยธรรม
  • มองไม่ออกจริงหรือว่าเกิดอะไรขึ้นตรงนี้? ทั้งการตั้งชื่อ “หน่วยงานรัฐบาล” ตาม มีมคอยน์ และการขัดจังหวะคำพูดของประธานาธิบดีขณะนั่งอยู่ในห้องทำงานโดยใส่หมวก
    Elon กำลังส่งสัญญาณว่าเขาไม่เคารพระบบสถาบันของประเทศนี้ ทำไม Trump ถึงทำเรื่องจุกจิกอย่างการเปลี่ยนชื่อเฉพาะฝั่ง Mexico ล่ะ? มันคือบททดสอบลิตมัสว่าใครจะยอมเดินตามการแสดงอำนาจที่ไร้สาระที่สุด และวันนี้มันก็ถูกนำไปใช้จริงแล้ว เมื่อ AP ถูกห้ามเข้าห้องทำงานและ AF1 เพราะไม่ยอมคุกเข่าในประเด็นนี้ นี่มืดมนกว่าการที่ Elon อาละวาดไปเองมาก

    • ใช่เลย นี่คือ รัฐประหารฟาสซิสต์ ของพวกนีโอนาซี
    • นี่แย่กว่า 9/11 มาก มากเสียอีก
      อาจเป็นแค่ว่าหอคอยแรกยังไม่ถล่ม ลูกไฟหายไปแล้ว นักดับเพลิงกำลังขึ้นบันได และเราก็เลยคิดว่าเดี๋ยวคงช่วยได้ทัน แต่ใต้พื้นผิว ไฟกำลังร้อนขาวโพลน และเหล็กก็ร้อนขึ้นกับอ่อนตัวลงทุกนาที
      ไม่ต้องไปหาตัวอย่างไกลเลยว่าแค่การเปลี่ยนแปลงเล็กน้อยจากรัฐบาลก่อน ๆ ก็อาจก่อผลลัพธ์มหาศาลแบบไม่คาดคิดได้ พวกเรากำลังสุกงอมกันเต็มที่แล้ว
    • ถูกต้องเลย คือสร้างเรื่องไร้สาระขึ้นมาแล้วเรียกว่าทางการ จากนั้นถ้าใครไม่ตามก็แบนเขาโดยกล่าวหาว่าเผยแพร่คำโกหก นี่มัน เผด็จการ 101 ชัด ๆ
    • จิตวิญญาณผู้ประกอบการของอเมริกาได้บ่มเพาะ ความหวาดระแวง และตอนนี้ก็ต้องการล้างแค้น
      พวกเขาจะใช้นโยบายกีดกันทางการค้า ผลักดันการตัดรายจ่ายก่อนการปฏิรูประบบภาษีเพื่อโชว์ว่า “เราประหยัดได้เท่านี้” แล้วหวังว่าตลาดจะขึ้น ก่อนจะเทขายพอร์ตมูลค่าหลายแสนล้านดอลลาร์และย้ายไปเกษียณบนเกาะ
      อย่างน้อยนี่ก็คือทฤษฎีหนึ่ง ดูเหมือนอเมริกาจะไม่อยากยอมรับว่า CCP กำอำนาจการผลิตภาคอุตสาหกรรมของสหรัฐไว้ในมือ และสามารถใช้การวางแผนจากส่วนกลางดันตลาด EV ของสหรัฐหรือแม้แต่กำลังรบทางเรือให้เสียเปรียบได้ตามใจ มีสมมุติฐานว่าการยกเลิกกฎระเบียบจะกลายเป็นยาครอบจักรวาลแก้ปัญหาอเมริกาได้ในที่สุด แต่ก็ไม่สามารถไล่ตามสิ่งนั้นอย่างสอดคล้องกับนโยบายการค้าโลกได้ จะคว่ำบาตร ICC แล้วไปเรียกร้องให้ประเทศอื่นส่งผู้ร้ายข้ามแดนมายังสหรัฐก็ไม่ได้ และจะทิ้ง Human Rights Council แล้วเรียกร้องให้ประเทศอื่นเคารพอำนาจทางศีลธรรมของเราก็ไม่ได้เช่นกัน
      สี่ปีต่อจากนี้จะเป็นช่วงเวลาที่โลกอารยะพิสูจน์อีกครั้งว่าพวกเขาอยู่ได้โดยไม่ต้องมีสหรัฐ Trump จะประจบประแจงเผด็จการต่างประเทศ ส่วนที่เหลือก็จะได้แต่กระทืบเท้ารอไพรมารีครั้งถัดไป สถานการณ์แบบ ชะงักงัน สไตล์ปี 2016 คือฉากทัศน์ที่ดีที่สุด และถ้าจะมีข้อดีอยู่บ้างก็คือศัตรูหลักของสหรัฐเองก็กำลังลำบากไม่น้อยในตอนนี้ ถ้า Trump ได้นั่งอยู่ในตำแหน่งแบบยุค Nixon หรือ Reagan ล่ะก็ เกมของอเมริกาคงจบเห่ไปแล้ว