- เอกสารที่ Daniel Berulis พนักงาน IT ของ NLRB ยื่นต่อสภาคองเกรสและหน่วยงานกำกับดูแล ระบุความเป็นไปได้ที่วิศวกรของ DOGE เข้าถึงระบบภายในแล้วทำให้ ข้อมูลแรงงานที่อ่อนไหว ถูกส่งออกไปภายนอก รวมถึงพฤติการณ์ปกปิดบันทึกการทำงาน
- ฝ่าย DOGE เรียกร้องสิทธิ์เข้าถึงระดับสูงสุดคือ tenant owner level และเอกสารที่เผยแพร่รวมถึงบันทึกการสนทนาภายในมีพฤติการณ์ที่พวกเขาไม่ทิ้งบันทึกกิจกรรม ปิดเครื่องมือตรวจสอบ หรือหลบลบบันทึกการเข้าถึง
- Berulis ระบุว่าเขาพบการพุ่งสูงของการส่งข้อมูลออกภายนอกราว 10GB จากระบบจัดการคดี NxGen และเครือข่าย, บัญชี DOGE ที่ถูกลบ, การใช้คอนเทนเนอร์, การสร้างและลบ SAS token, การปิด MFA และคำขอ DNS ที่เพิ่มขึ้นอย่างรวดเร็ว
- NLRB ปฏิเสธทั้งคำขอเข้าถึงและการเข้าถึงระบบของ DOGE และระบุว่าไม่มีการบุกรุก แต่เอกสารที่เผยแพร่มีข้อมูลนิติวิทยาศาสตร์ดิจิทัลและบันทึกการสนทนา ขณะที่ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้และกฎหมายแรงงานหลายรายเห็นว่าจำเป็นต้องมีการสอบสวนเพิ่มเติม
- หากข้อมูลเกี่ยวกับการจัดตั้งสหภาพแรงงาน คดีที่กำลังดำเนินอยู่ คำให้การ และข้อมูลธุรกิจของบริษัทถูกเปิดเผย คนงาน สหภาพแรงงาน และบริษัทต่างอาจได้รับความเสียหาย อีกทั้งความกังวลเรื่อง ผลประโยชน์ทับซ้อน ก็เพิ่มขึ้น เนื่องจาก Musk และ SpaceX เกี่ยวข้องกับคดีของ NLRB
NLRB และข้อสงสัยเรื่องการเข้าถึงของ DOGE
- National Labor Relations Board (NLRB) เป็นหน่วยงานอิสระของรัฐบาลกลางที่สอบสวนและตัดสินข้อร้องเรียนการปฏิบัติด้านแรงงานที่ไม่เป็นธรรม และเก็บรักษา ข้อมูลอ่อนไหว เช่น ข้อมูลลับเกี่ยวกับการจัดตั้งสหภาพแรงงานของพนักงาน และข้อมูลธุรกิจเฉพาะของบริษัท
- ต้นเดือนมีนาคม ทีมที่ปรึกษาในโครงการ Department of Government Efficiency (DOGE) ของประธานาธิบดี Trump เดินทางมาถึงสำนักงานใหญ่ NLRB ทางตะวันออกเฉียงใต้ของวอชิงตัน ดี.ซี.
- พนักงาน DOGE อยู่ในองค์กรที่โดยพฤตินัยนำโดย Elon Musk ที่ปรึกษาทำเนียบขาวและ CEO บริษัทเทคโนโลยี โดยระบุว่าจะตรวจสอบข้อมูลของหน่วยงานเพื่อดูการปฏิบัติตามนโยบายฝ่ายบริหาร ลดต้นทุน และเพิ่มประสิทธิภาพสูงสุด
- ตามเอกสารเปิดเผยอย่างเป็นทางการของ Berulis ในฐานะผู้แจ้งเบาะแส การสัมภาษณ์ และบันทึกการสื่อสารภายใน พนักงานเทคนิคของ NLRB เริ่มระแวดระวังหลังจากเห็นข้อมูลที่ไหลออกนอกหน่วยงานพุ่งสูงขึ้น หลังวิศวกร DOGE ได้รับสิทธิ์เข้าถึง
- ข้อมูลดังกล่าวอาจมีข้อมูลเกี่ยวกับสหภาพแรงงาน คดีทางกฎหมายที่กำลังดำเนินอยู่ และความลับทางธุรกิจ ผู้เชี่ยวชาญกฎหมายแรงงาน 4 รายเห็นว่าข้อมูลแบบนั้นไม่ควรถูกนำออกนอก NLRB และไม่เกี่ยวข้องกับการเพิ่มประสิทธิภาพรัฐบาลหรือการลดค่าใช้จ่าย
วิธีเข้าถึงและพฤติการณ์ปกปิดล็อก
- วิศวกร DOGE ถามล่วงหน้าเกี่ยวกับซอฟต์แวร์ ฮาร์ดแวร์ ภาษาโปรแกรม และข้อมูลแอปพลิเคชันของ NLRB และทราบว่า NLRB ใช้การเชื่อมต่อระหว่างโครงสร้างพื้นฐานคลาวด์เชิงพาณิชย์กับระบบคลาวด์ของรัฐบาล
- ตามเอกสารเปิดเผยของ Berulis พนักงาน DOGE ขอใช้บัญชี tenant owner level ซึ่งเป็นสิทธิ์ระดับสูงสุดในระบบคอมพิวเตอร์ภายในของหน่วยงานอิสระ
- สิทธิ์นี้เป็นการเข้าถึงที่แทบไม่มีข้อจำกัด สามารถอ่าน คัดลอก และเปลี่ยนแปลงข้อมูลได้
- ในเอกสารเปิดเผยระบุว่า พนักงาน IT รายหนึ่งเสนอให้เปิดใช้บัญชีในรูปแบบที่ติดตามกิจกรรมได้ตามนโยบายความปลอดภัยของ NLRB แต่ได้รับคำสั่งว่าอย่าขัดขวาง DOGE
- ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้เห็นว่าวิธีเข้าถึงที่ไม่ทิ้งล็อกกิจกรรมขัดแย้งกับคำแนะนำของ NIST Cybersecurity Framework, CISA, FBI และ NSA
- Jake Braun กล่าวว่า รัฐบาลซื้อเทคโนโลยีเฝ้าระวังภัยคุกคามจากบุคคลภายในเพื่อช่วยตรวจจับและป้องกันการรั่วไหลของข้อมูลอ่อนไหวล่วงหน้า
- Berulis ระบุว่า งบประมาณของ NLRB ตลอดหลายปีที่ผ่านมาไม่เพียงพอสำหรับการซื้อเครื่องมือตรวจจับภัยคุกคามจากบุคคลภายในลักษณะนั้น
NxGen และชื่อรีโพซิทอรี GitHub
- Berulis พบชื่อรีโพซิทอรี NxGenBdoorExtract ในบัญชี GitHub สาธารณะของ Jordan Wick วิศวกร DOGE
- Wick เปลี่ยนรีโพซิทอรีดังกล่าวเป็นส่วนตัวก่อนที่ Berulis จะตรวจสอบเพิ่มเติม
- NPR ไม่สามารถกู้คืนโค้ดในรีโพซิทอรีได้
- ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้หลายรายเห็นว่าชื่อรีโพซิทอรีเองบ่งชี้ถึงความเป็นไปได้ว่าออกแบบแบ็กดอร์ หรือ “Bdoor” เพื่อดึงไฟล์ออกจาก NxGen ซึ่งเป็นระบบจัดการคดีภายในของ NLRB
- NxGen เป็นระบบจัดการคดีที่ออกแบบภายในสำหรับ NLRB
- แม้ท้ายที่สุดแล้วบันทึกจำนวนมากของ NLRB จะเปิดเผยต่อสาธารณะ แต่ NxGen มีข้อมูลเฉพาะของคู่แข่งบริษัท ข้อมูลส่วนบุคคลของสมาชิกสหภาพแรงงานหรือพนักงานที่ลงคะแนนเข้าร่วมสหภาพ และคำให้การในคดีที่กำลังดำเนินอยู่
- การเข้าถึงข้อมูลดังกล่าวได้รับการคุ้มครองภายใต้กฎหมายรัฐบาลกลางหลายฉบับ รวมถึง Privacy Act
- วิศวกรคนหนึ่งที่สร้าง NxGen ประเมินว่า สิ่งที่น่ากังวลที่สุดคือการผสมกันระหว่างการลบล็อกกับการเข้าถึงระดับ tenant
เบาะแสเชิงนิติวิทยาศาสตร์ที่ชี้ถึงการรั่วไหลของข้อมูล
- ตามเอกสารเปิดเผยของ Berulis หลังจาก DOGE ออกจาก NLRB มีบัญชี DOGE อย่างน้อยหนึ่งบัญชีถูกสร้างขึ้นแล้วถูกลบออกในระบบคลาวด์ NLRB ที่ใช้ Microsoft
- ชื่อบัญชีที่ระบุคือ
DogeSA_2d5c3e0446f9@nlrb.microsoft.com
- ชื่อบัญชีที่ระบุคือ
- วิศวกร DOGE ติดตั้งคอนเทนเนอร์
- ตัวคอนเทนเนอร์เองไม่ใช่เทคโนโลยีน่าสงสัย แต่สามารถใช้รันโปรแกรมหลังลบออกโดยไม่ทิ้งร่องรอยกิจกรรม และไม่เปิดเผยเนื้อหาให้ส่วนอื่นของเครือข่ายเห็น
- Berulis กล่าวว่า หลังจากเห็นข้อมูลไหลออกจาก “nucleus” ของระบบจัดการคดี NxGen เขาก็ตรวจพบการพุ่งสูงของทราฟฟิกออกภายนอกขนาดใหญ่ในตัวเครือข่ายเองด้วย
- Berulis อธิบายว่า ข้อมูลที่ถูกส่งออกไปภายนอกเกือบทั้งหมดเป็นไฟล์ข้อความ และมีขนาดราว 10GB
- ข้อมูลประวัติทั้งหมดของ NLRB มีมากกว่า 10TB
- ยังไม่ชัดเจนว่าไฟล์ใดถูกคัดลอกหรือนำออกไป ถูกบีบอัดหรือรวมเข้าด้วยกัน หรือมีการคิวรีเฉพาะบางไฟล์แล้วนำออกไป
- Berulis ยืนยันว่าในสัปดาห์นั้น NLRB ไม่มีโครงการจัดเก็บไฟล์สำรองหรือย้ายข้อมูล
- ในเอกสารเปิดเผยระบุว่า ล็อกการตรวจสอบทราฟฟิกออกภายนอกหายไป และงานเครือข่ายกับการนำข้อมูลออกบางส่วนไม่มีข้อมูลระบุตัวผู้กระทำ นอกจาก “deleted account”
การควบคุมความปลอดภัยที่ถูกปิดใช้งานและข้อสงสัยเรื่อง DNS tunneling
- Berulis ระบุว่าผู้ใช้ที่ไม่ทราบตัวตนออก SAS token ซึ่งเป็นคีย์เข้าถึงระดับสูงสำหรับเข้าถึงบัญชีสตอเรจ แล้วลบออก
- เขากล่าวว่าหลังจากนั้นไม่มีวิธีติดตามว่าโทเคนนั้นถูกนำไปทำอะไร
- ความผิดปกติอื่นที่ตรวจพบรวมถึงการลดทอนการควบคุมความปลอดภัยหลายรายการ
- การควบคุมที่บล็อกการล็อกอินจากอุปกรณ์มือถือที่ไม่ปลอดภัยหรือไม่ได้รับอนุญาตถูกปิดใช้งาน
- อินเทอร์เฟซถูกเปิดเผยต่ออินเทอร์เน็ตสาธารณะ
- ระบบแจ้งเตือนและตรวจสอบภายในถูกปิดด้วยมือ
- การยืนยันตัวตนหลายปัจจัย (MFA) ถูกปิดใช้งาน
- “user roster” ที่มีข้อมูลติดต่อของทนายความภายนอกซึ่งทำงานกับ NLRB ถูกส่งออก
- Berulis ตรวจพบการดาวน์โหลด PowerShell 5 ครั้งในระบบ และยังจับตาไลบรารีโค้ดที่อาจใช้เพื่อทำให้อัตโนมัติและปกปิดการนำข้อมูลออก
requests-ip-rotatorถูกอธิบายว่าเป็นเครื่องมือสำหรับสร้างที่อยู่ IP จำนวนมากมากbrowserlessถูกอธิบายว่าเป็นเครื่องมืออัตโนมัติที่นักพัฒนาเว็บใช้- รีโพซิทอรีทั้งสองถูกพบว่าเป็นรีโพซิทอรีที่ติดดาวไว้ในไฟล์เก็บถาวรของบัญชี GitHub ของ Jordan Wick
- Berulis ยกความเป็นไปได้ของ DNS tunneling โดยอ้างว่าคำขอ DNS เพิ่มขึ้นเป็น 1,000 เท่า ของปกติพร้อมกับการนำข้อมูลออก
- DNS tunneling เป็นวิธีใช้คำถามและคำตอบ DNS เพื่อแบ่งข้อมูลเป็นชิ้นเล็ก ๆ แล้วส่งออกภายนอก
- นักวิจัยข่าวกรองภัยคุกคามรายหนึ่งกล่าวว่าเคยมีกรณีที่ผู้ก่อภัยคุกคามจากรัสเซียใช้วิธีคล้ายกันในระบบรัฐบาลสหรัฐฯ แต่ก็ระบุว่ายากจะตรวจสอบเหตุการณ์นี้อย่างสมบูรณ์หากไม่มีสิทธิ์เข้าถึงระบบ NLRB ทั้งหมด
- Russ Handorf ซึ่งเคยทำงานด้านไซเบอร์ซีเคียวริตี้ที่ FBI เห็นว่าภาพรวมทั้งหมดน่ากังวล แต่ยังไม่สามารถสรุปได้ว่าใครเป็นผู้ทำจนกว่าการสอบสวนจะเสร็จสิ้น
ความพยายามล็อกอินจาก IP รัสเซียและพื้นผิวโจมตีภายนอก
- ตามเอกสารเปิดเผยของ Berulis ภายในไม่กี่นาทีหลัง DOGE เข้าถึงระบบ NLRB มีความพยายามล็อกอินจากที่อยู่ IP ของรัสเซีย
- Berulis ระบุว่าความพยายามดังกล่าวใช้หนึ่งในบัญชี DOGE ที่สร้างขึ้นใหม่ และชื่อผู้ใช้กับรหัสผ่านถูกต้อง
- ความพยายามล็อกอินถูกบล็อก
- ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้เห็นว่าความพยายามล็อกอินที่ล้มเหลวไม่กี่ครั้งจาก IP รัสเซียเพียงอย่างเดียวไม่ใช่หลักฐานชี้ขาด
- อย่างไรก็ตาม เมื่อรวมกับลำดับกิจกรรมทั้งหมด ก็ทำให้เกิดความกังวลว่าฝ่ายตรงข้ามต่างชาติอาจกำลังค้นหาช่องทางเข้าสู่ระบบรัฐบาลที่วิศวกร DOGE อาจเปิดเผยไว้แล้ว
- Handorf อธิบายว่า หากวิศวกร DOGE เปิดจุดเข้าถึงเครือข่ายทิ้งไว้ สายลับหรืออาชญากรก็จะตามหลัง DOGE เข้าไปบุกรุกและขโมยข้อมูลได้ง่ายขึ้น
- Ann Lewis อดีตผู้อำนวยการ GSA Technology Transformation Services กล่าวว่า หลักการสิทธิ์น้อยที่สุด เป็นแนวคิดไซเบอร์ซีเคียวริตี้พื้นฐานที่ช่วยปกป้องการเข้าถึงข้อมูลมูลค่าสูงและทรัพย์สินหลัก และลดข้อผิดพลาดของผู้ใช้หรือการกระทำที่เป็นอันตราย
การปฏิเสธของ NLRB และจุดยืนของทำเนียบขาว
- Tim Bearese โฆษกรักษาการของ NLRB ระบุว่า NLRB ไม่ได้อนุญาตให้ DOGE เข้าถึงระบบ และ DOGE ก็ไม่ได้ขอเข้าถึง
- Bearese กล่าวว่า หลังจาก Berulis แจ้งข้อกังวล หน่วยงานได้ดำเนินการสอบสวนแล้ว แต่สรุปว่าไม่มีการบุกรุกระบบของหน่วยงาน
- Anna Kelly โฆษกทำเนียบขาว กล่าวว่าเป็นเรื่องที่ทราบกันอยู่แล้วว่าประธานาธิบดี Trump ลงนามคำสั่งฝ่ายบริหารเพื่อจ้างพนักงาน DOGE เข้าหน่วยงานต่าง ๆ และประสานการแบ่งปันข้อมูล
- Kelly กล่าวว่า ทีม DOGE ทำงานอย่างเปิดเผยและโปร่งใสเพื่อขจัดความสิ้นเปลือง การทุจริต และการใช้ในทางที่ผิดทั่วทั้งฝ่ายบริหาร
- เอกสารเปิดเผยของ Berulis มีข้อมูลนิติวิทยาศาสตร์ดิจิทัลและบันทึกการสนทนากับเพื่อนร่วมงาน และได้รับการตรวจสอบโดยผู้เชี่ยวชาญด้านเทคนิค 11 คนจากหน่วยงานรัฐบาลอื่นและภาคเอกชน
- NPR ติดต่อแหล่งข่าวมากกว่า 30 คนในแวดวงรัฐบาล เอกชน ขบวนการแรงงาน ไซเบอร์ซีเคียวริตี้ และการบังคับใช้กฎหมาย โดย 11 คนที่รู้โดยตรงเกี่ยวกับการดำเนินงานภายในหน่วยงานรัฐบาลและสภาคองเกรสต่างมีข้อกังวลร่วมกันเกี่ยวกับความเป็นไปได้ที่ DOGE นำข้อมูลอ่อนไหวออกไป
ผลกระทบของการเปิดเผยข้อมูลแรงงาน
- ระบบจัดการคดีของ NLRB มีข้อมูลคดีแรงงานที่กำลังดำเนินอยู่ รายชื่อนักกิจกรรมสหภาพแรงงาน บันทึกคดีภายใน ข้อมูลส่วนบุคคลอย่างหมายเลข Social Security และที่อยู่ รวมถึงข้อมูลเฉพาะของบริษัทที่ไม่เปิดเผยต่อสาธารณะ
- ผู้เชี่ยวชาญกฎหมายแรงงานกล่าวว่าไม่เห็นเหตุผลอันชอบธรรมที่ DOGE จะต้องนำข้อมูลจัดการคดีดังกล่าวออกนอกหน่วยงานเพื่อแก้ปัญหาเรื่องประสิทธิภาพ
- Kate Bronfenbrenner กังวลว่า เพียงแค่มีข้อเท็จจริงเรื่องการเข้าถึงข้อมูล ก็อาจทำให้คนงานลังเลที่จะให้การต่อ NLRB
- Sharon Block กล่าวว่า หากสำเนาข้อมูลตกไปถึงบริษัท อาจถูกนำไปใช้ในทางที่ผิดเพื่อไล่พนักงานที่ทำกิจกรรมจัดตั้งสหภาพแรงงาน หรือสร้างบัญชีดำของผู้จัดตั้ง
- การกระทำเช่นนี้ผิดกฎหมายแรงงานของรัฐบาลกลางที่ NLRB บังคับใช้
- บริษัทต่าง ๆ ก็อาจเป็นผู้เสียหายได้เช่นกัน
- ระหว่างคดีการปฏิบัติด้านแรงงานที่ไม่เป็นธรรม แผนธุรกิจภายใน โครงสร้างองค์กร และความลับทางการค้าของบริษัทอาจรวมอยู่ในเอกสารสอบสวน
- ข้อมูลดังกล่าวอาจมีคุณค่าต่อคู่แข่ง หน่วยงานกำกับดูแล และบุคคลภายนอกอื่น ๆ
Musk, SpaceX และความกังวลเรื่องผลประโยชน์ทับซ้อน
- ผู้เชี่ยวชาญกฎหมายแรงงานเห็นว่า ผลประโยชน์ทับซ้อน ชัดเจน ในสถานการณ์ที่ Elon Musk บริษัทของเขา รวมถึงอดีตพนักงานและเพื่อนร่วมงาน ได้งานในรัฐบาลและสิทธิ์เข้าถึงข้อมูล
- Trump และ Musk กล่าวในการสัมภาษณ์กับ Fox News ว่า Musk จะถอนตัวเองจากเรื่องที่เกี่ยวข้องกับบริษัทของเขา
- แต่ DOGE ได้รับอนุญาตให้เข้าถึงข้อมูลจำนวนมากที่อาจเป็นประโยชน์ต่อ Musk ในระดับสูง และไม่มีหลักฐานว่ามีไฟร์วอลล์เพื่อป้องกันการใช้ข้อมูลดังกล่าวในทางที่ผิด
- มีหลายคดีที่กำลังดำเนินอยู่ระหว่าง SpaceX กับ NLRB
- หลังจากอดีตพนักงาน SpaceX ยื่นคำร้องต่อ NLRB ทนายความของ SpaceX ก็ยื่นฟ้อง NLRB
- พวกเขาอ้างว่าโครงสร้างของ NLRB ขัดต่อรัฐธรรมนูญ
- Sharon Block จาก Harvard Law กังวลว่า หาก DOGE ได้ข้อมูลทั้งหมดจริง Musk อาจเข้าถึงข้อมูลคดีที่รัฐบาลกำลังเตรียมดำเนินการกับเขา
- Bruce Schneier ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ เคยตั้งข้อกังวลว่า xAI ของ Musk อาจนำข้อมูลที่ DOGE รวบรวมไปใช้ฝึกอัลกอริทึม
รูปแบบคล้ายกันที่พบในหน่วยงานอื่น
- ในคดีความมากกว่า 10 คดีที่กำลังดำเนินในศาลรัฐบาลกลาง ผู้พิพากษาขอให้ DOGE อธิบายว่าเหตุใดจึงต้องการเข้าถึงข้อมูลอ่อนไหวของชาวอเมริกันอย่างกว้างขวาง เช่น บันทึก Social Security บันทึกทางการแพทย์ และข้อมูลภาษี
- ในคดีระบบจ่ายเงินของ Treasury Department ผู้พิพากษาศาลแขวงสหรัฐฯ Jeannette Vargas สั่งปิดกั้นการเข้าถึงของ DOGE เมื่อวันที่ 21 กุมภาพันธ์ โดยเห็นว่ามีความเป็นไปได้จริงที่ข้อมูลอ่อนไหวจะถูกแชร์ออกนอก Treasury ไปแล้ว
- ผู้ช่วยฝ่ายเสียงข้างน้อยของพรรคเดโมแครตใน House Oversight Committee กล่าวว่า คณะกรรมาธิการมีรายงานที่ตรวจสอบได้หลายฉบับว่า DOGE นำข้อมูลรัฐบาลที่อ่อนไหวออกจากหลายหน่วยงานโดยมีวัตถุประสงค์ที่ไม่ทราบแน่ชัด
- Erie Meyer อดีต CTO ของ CFPB ระบุว่า พนักงาน DOGE มอบสิทธิ์เข้าถึงระบบ CFPB ระดับ “God-tier” ให้ตนเอง ปิดล็อกการตรวจสอบและอีเวนต์ และสั่งพักงานฝ่ายบริหารแก่ผู้เชี่ยวชาญไซเบอร์ซีเคียวริตี้ที่รับผิดชอบการตรวจจับภัยคุกคามจากบุคคลภายใน
- พนักงานรายหนึ่งของหน่วยงานในสังกัด Interior Department กล่าวว่า แม้สัญญาณเตือนภัยคุกคามจากบุคคลภายในจะดังขึ้น ทีมไซเบอร์ก็ได้รับคำสั่งให้รอ และไม่สามารถบล็อกการเข้าถึงของผู้ใช้ใหม่ได้
- อดีตผู้บริหารระดับสูงของ GSA จำนวน 46 คน ระบุในจดหมายเปิดผนึกวันที่ 13 มีนาคมว่า ระบบ IT ที่มีความอ่อนไหวสูงกำลังตกอยู่ในความเสี่ยง และข้อมูลอ่อนไหวกำลังถูกดาวน์โหลดไปยังแหล่งภายนอกที่ยังไม่ผ่านการตรวจสอบ
คำสั่งฝ่ายบริหารและการขยายการแบ่งปันข้อมูล
- ไม่กี่สัปดาห์หลังพนักงาน DOGE เข้าสู่อาคารของรัฐบาลกลาง Trump ออกคำสั่งฝ่ายบริหารที่เรียกร้องให้ขยายการแบ่งปันข้อมูลผ่านการ “กำจัดไซโลข้อมูล”
- Kel McClanahan จาก National Security Counselors กล่าวว่า คำสั่งฝ่ายบริหารนี้ดูเหมือนเป็นความพยายามให้เหตุผลเพิ่มเติมแก่วิศวกร DOGE ในการเข้าถึงและผสานข้อมูลรัฐบาลกลางที่อ่อนไหว
- McClanahan กล่าวว่า Privacy Act ถูกสร้างขึ้นเมื่อ 50 ปีก่อนเพื่อตอบสนองต่อปัญหาที่รัฐบาลกลางถือครองข้อมูลเกี่ยวกับประชาชนทั่วไปมากเกินไป และไซโลข้อมูลมีเหตุผลที่ต้องดำรงอยู่
- แหล่งข่าวอดีตรัฐบาลรายหนึ่งกล่าวว่า เท่าที่ทราบ DOGE ยังคงเดินทางเยี่ยมหน่วยงานรัฐบาลกลางทั่วประเทศเมื่อเร็ว ๆ นี้ รวมถึง Securities and Exchange Commission
- ยังไม่ชัดเจนว่าทั่วทั้งรัฐบาลมีข้อมูลอ่อนไหวมากน้อยเพียงใดที่ถูกนำออก รวบรวม หรือผสานเข้าด้วยกัน
การเปิดเผยของ Berulis และข้อเรียกร้องให้สอบสวน
- Berulis ตัดสินใจออกมาเปิดเผยต่อสาธารณะ เพราะรู้สึกว่าความพยายามสอบสวนภายในถูกขัดขวาง และมีความพยายามทำให้เขาเงียบ
- ตามจดหมายแนบของ Andrew Bakaj ทนายความของเขา ที่ประตูบ้านของ Berulis มีเอกสารพิมพ์ติดอยู่ ซึ่งมีข้อความข่มขู่ ข้อมูลส่วนบุคคลอ่อนไหว และภาพถ่ายการเดินเล่นที่ดูเหมือนถ่ายด้วยโดรน
- ยังไม่ชัดเจนว่าใครเป็นผู้ส่ง
- หน่วยงานบังคับใช้กฎหมายกำลังสอบสวนจดหมายดังกล่าว
- Berulis เห็นว่าหน่วยงานที่มีทรัพยากรมากกว่า เช่น CISA หรือ FBI ควรสอบสวนกิจกรรมต้องสงสัยนี้
- NLRB ระบุว่าจะให้ความร่วมมือกับการสอบสวนที่เกิดจากการเปิดเผยข้อมูลต่อสภาคองเกรสของ Berulis
- Berulis เรียกร้องความโปร่งใสจากวิศวกร DOGE โดยกล่าวว่า หากไม่มีอะไรต้องปิดบัง ก็อย่าลบล็อกหรือทำตัวลับ ๆ และหากเป็นความเข้าใจผิดก็ขอให้พิสูจน์
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
ส่วนนี้แหละที่ร้ายแรงจริง ๆ: ถ้าเป็น การตรวจสอบประสิทธิภาพ ของจริง ก็อาจจำเป็นต้องมีสิทธิ์เข้าถึงจำนวนมากเพื่อค้นหาร่องรอยของกิจกรรมที่ถูกซ่อนไว้ แต่ไม่มีความจำเป็นใด ๆ เลยที่จะต้องซ่อนร่องรอยของสิ่งที่ตัวเองทำ
https://en.wikipedia.org/wiki/Inspector_general#United_State...
https://en.wikipedia.org/wiki/2025_dismissals_of_inspectors_...
ยังมีหน่วยงานเฉพาะด้านการตรวจสอบอีกต่างหาก
https://en.wikipedia.org/wiki/Government_Accountability_Offi...
ความพยายามดึงภาคเอกชนเข้ามาหาประสิทธิภาพก็ไม่ใช่เรื่องใหม่
https://en.wikipedia.org/wiki/Grace_Commission
https://en.wikipedia.org/wiki/Brownlow_Committee
https://en.wikipedia.org/wiki/Hoover_Commission
https://en.wikipedia.org/wiki/National_Partnership_for_Reinv...
ถ้าบทความถูกต้อง ก็เท่ากับว่าทันทีหลังสร้างบัญชี มีความพยายามล็อกอินจากแหล่งที่มารัสเซียด้วยข้อมูลรับรองที่ถูกต้อง หากเป็นจริงนี่เป็นเรื่องใหญ่มาก และอาจเป็นไปได้ว่าแล็ปท็อปของใครบางคนถูกเจาะ
จากมุมมองของคนที่ไม่ใช่ชาวอเมริกัน ถ้ายังไม่ได้ทำเช่นนั้น บริษัทเอกชน นักวิจัยด้านความปลอดภัย และสาธารณชนทั่วไปน่าจะต้องเริ่มปฏิบัติกับ หน่วยงานรัฐบาลสหรัฐฯ เหมือนเป็นภัยคุกคามต่อข้อมูลส่วนบุคคลและความปลอดภัย แบบเดียวกับพวกฟิชชิงหรือมิจฉาชีพ
หากหน่วยงานรัฐบาลถูกเจาะผ่านแบ็กดอร์ซอฟต์แวร์หรือกลไกอื่น ๆ ก็ต้องถือว่าข้อมูลและระบบทั้งหมดที่หน่วยงานนั้นเข้าถึงได้ถูกเจาะไปด้วย
มนุษย์เป็นเพียงทรัพยากรบุคคลที่จะถูกทำให้เป็นสินค้า เทคโนโลยีโฆษณากลายเป็นหน่วยข่าวกรองเอกชน มนุษย์ไม่ใช่มนุษย์และไม่มีสิทธิ หากคุณไม่สามารถปลดปล่อยตัวเองและคนที่คุณรักจากการล้างสมองแบบเสรีนิยมใหม่ได้
ความจริงที่น่าเศร้าคือครึ่งหนึ่งของประชากรสหรัฐฯ มองว่า NLRB เป็นภาระต่อธุรกิจขนาดเล็ก เพราะนโยบายเปลี่ยนบ่อย ทำให้ต้นทุนและความซับซ้อนในการปฏิบัติตามกฎหมายสูงขึ้นสำหรับฝ่ายที่ไม่มีทรัพยากรด้านกฎหมายมากพอ [1]
และคนครึ่งเดียวกันนั้นก็ไม่เชื่ออะไรเลยที่ npr.org พูด ต้องเข้าใจพลวัตนี้ถึงจะเข้าใจสภาพปัจจุบันของวาทกรรมในสหรัฐฯ
[1] https://edworkforce.house.gov/news/documentsingle.aspx?Docum...
ไม่ได้น่าตกใจ แต่สิ่งที่น่าหงุดหงิดกว่านั้นคือคงจะไม่มีอะไรเกิดขึ้นเลย ผมไม่มั่นใจเลยว่าเรื่องนี้จะถูกจัดการ และสุดท้ายคงจบลงด้วยการตะโกนว่าเป็น ข่าวปลอม เหมือนเดิม
รู้สึกเหมือนสุนัขจิ้งจอกเข้าไปอยู่ในเล้าไก่เรียบร้อยแล้ว
ถ้าเริ่มแคมเปญในรัฐของตัวเอง ก็น่าจะได้รับคำตอบค่อนข้างเร็ว พวกเขาไวต่อความนิยมมาก และการแข่งขันก็สำคัญ
อ่านเรื่องนี้จาก BSky
มีส่วนหนึ่งของเอกสารเปิดเผยเพื่อคุ้มครองผู้แจ้งเบาะแส
https://bsky.app/profile/mattjay.com/post/3ln2dgoksce2e
ดูเหมือนว่าพนักงานของ Elon เข้าไปแล้วคัดลอกทุกอย่างออกมา ที่นี่เป็น NLRB จึงมีข้อมูลอ่อนไหวจำนวนมาก แต่ไม่ว่าหน่วยงานรัฐไหนก็น่าจะมีข้อมูลอ่อนไหวมหาศาลเช่นกัน และดูเหมือนว่าพวกเขาจะส่งมันไปที่ไหนสักแห่ง ก่อนหน้านั้นดูเหมือนว่าพวกเขาปิด logging ทั้งหมดและฟีเจอร์ความปลอดภัยจำนวนมากเพื่อพยายามปกปิดร่องรอย
เรื่องนี้ร้ายแรง คนเหล่านี้ดูเหมือนเป็น ผู้ไม่ประสงค์ดี ที่มีอำนาจระดับรัฐซึ่งเข้าถึงทุกอย่างได้
ยิ่งไปกว่านั้นยังเป็นคนรุ่นอายุน้อย ดูเหมือนไม่รู้เรื่องความปลอดภัยอย่างถูกต้อง และดูเหมือนว่าถูกแฮ็กโดย APT ระดับรัฐของรัสเซียที่เป็นมืออาชีพด้วย
ผมคิดว่าควรพยายามทำความเข้าใจว่า NxGenBdoorExtract คืออะไร NxGen เป็นระบบสำหรับ NLRB ส่วน Bdoor ทำให้นึกถึง backdoor อย่างชัดเจน
เขาลบ Git ลงหรือเปลี่ยนเป็นส่วนตัวแล้ว หาใน archive.org ก็ไม่เจอ
https://oversightdemocrats.house.gov/sites/evo-subsites/demo...
ถ้าเจ้าของเปิดเป็นสาธารณะอีกครั้งหรือกู้คืนกลับมา ก็จะยุติการคาดเดาทั้งหมดได้
https://archive.ph/fUa5Q
ตามบริบทที่ผมเข้าใจ พนักงาน DOGE ทั้งหมดเป็นพนักงานรัฐบาลชั่วคราว และการจ้างงานจะหมดอายุราวเดือนมิถุนายน หากสมมติว่าพวกเขาทำตามกฎหมาย—ซึ่งเป็นสมมติฐานที่ใหญ่มาก—ก็เท่ากับว่าพวกเขากำลังบุกปั่นป่วนหลายหน่วยงานด้วยความเร่งด่วนมหาศาลเพื่อเอาใจ Elon หรือผู้มีอำนาจ
ต้องต่อต้านโดยคำนึงถึงเส้นตายนี้ไว้
DOGE ได้รับการสนับสนุนจาก US Marshals และประธานาธิบดี อาจต่อต้านได้ แต่สุดท้ายก็แค่ถูกตัดสิทธิ์การเข้าถึง
ว่ากันว่าพนักงาน DOGE เรียกร้องสิทธิ์เข้าถึงระดับสูงสุด และเมื่อเจ้าหน้าที่ IT เสนอขั้นตอนแบบย่อเพื่อเปิดใช้งานบัญชีในลักษณะที่สามารถติดตามกิจกรรมได้ตามนโยบายความปลอดภัยของ NLRB ก็ถูกบอกว่าอย่าขวางทาง DOGE
แต่จริง ๆ แล้วหมายความว่า ปิด logging ไปแล้วหรือ? ไม่รู้ว่าทำได้อย่างไร มีใครรู้ไหมว่าหมายถึงระบบควบคุมการเข้าถึงแบบไหน?
อย่างไรก็ตาม ช่วงท้ายของบทความบอกว่า Berulis พบระบบควบคุมและมอนิเตอร์เฉพาะบางอย่างที่ถูกปิดจริง ๆ
ถ้าต่อไปมีการเลือกตั้งอีกครั้ง และมีคนที่ปกติกว่าและมีคุณสมบัติเหมาะสมกว่าเข้ารับตำแหน่ง กระทรวงยุติธรรม คงจะยุ่งจนรับมือไม่ไหวไปอีกหลายสิบปี
ผู้แจ้งเบาะแสและทนายของเขาให้สัมภาษณ์กับ CNN และ MSNBC
CNN: https://www.youtube.com/watch?v=TsqgXfrSksI