โค้ดของวิศวกร DOGE สนับสนุนคำกล่าวอ้างของผู้แจ้งเบาะแสภายใน NLRB

 (krebsonsecurity.com)
2 คะแนน โดย GN⁺ 2025-04-24 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ผู้แจ้งเบาะแสภายใน NLRB อ้างว่า แผนก DOGE ภายใต้ Elon Musk ได้ดาวน์โหลดข้อมูลข้อพิพาทแรงงานที่ละเอียดอ่อนมากกว่า 10GB โดยไม่ได้รับอนุญาต
  • บัญชี DOGE ใช้สิทธิ์ผู้ดูแลระบบเพื่อหลีกเลี่ยงการเฝ้าระวังล็อก และดาวน์โหลดโค้ดภายนอกจาก GitHub จำนวน 3 ชุด โดยหนึ่งในนั้นมีเทคนิคการหมุนเวียน IP ที่ใช้สำหรับ web scraping และการโจมตีแบบ brute force
  • พนักงานคนสำคัญ Marko Elez อัปโหลดเทคโนโลยีนี้เวอร์ชันล่าสุดขึ้น GitHub และเป็นบุคคลที่เคยมีประเด็นจากการละเมิดกฎความปลอดภัยข้อมูลและคำพูดที่ก่อให้เกิดข้อถกเถียง
  • โค้ดอื่นที่ถูกดาวน์โหลดประกอบด้วย เครื่องมือ reverse engineering API อย่าง Integuru และ Browserless สำหรับทำงานเบราว์เซอร์อัตโนมัติ
  • คุณภาพโค้ดของ Elez ถูกวิจารณ์อย่างหนักบน GitHub และต่อมาที่เก็บดังกล่าวก็ถูกลบออก

การเข้าถึงข้อมูลอ่อนไหวของบัญชี DOGE

  • ผู้แจ้งเบาะแส Daniel J. Berulis อ้างว่าพนักงาน DOGE เรียกร้องให้ NLRB สร้าง บัญชีผู้ดูแลระดับสูงสุด (tenant admin) เมื่อวันที่ 3 มีนาคม
  • บัญชีเหล่านี้ ถูกยกเว้นจากการเฝ้าระวังล็อกเครือข่ายทั้งหมด และสามารถ อ่าน/คัดลอก/แก้ไข ข้อมูล รวมถึงจัดการล็อกได้
  • แม้ Berulis และหัวหน้าของเขาจะไม่มีสิทธิ์ระดับนี้ แต่ DOGE กลับได้รับสิทธิ์ดังกล่าว

การดาวน์โหลดโค้ดจาก GitHub และเครื่องมือหมุนเวียน IP

  • บัญชี DOGE ดาวน์โหลดที่เก็บภายนอกบน GitHub จำนวน 3 แห่ง โดยหนึ่งในนั้นเป็น ไลบรารีที่สร้าง “pseudo-infinite IPs”
  • ไลบรารีนี้ถูกใช้กับ web scraping และ ความพยายามล็อกอินแบบ brute force
  • โค้ดนี้ต่อยอดมาจาก requests-ip-rotator ที่สร้างโดยผู้ใช้ GitHub Ge0rg3 และ Marko Elez ได้นำไปพัฒนาเป็น async-ip-rotator ในเดือนมกราคม 2025

Marko Elez และข้อถกเถียงของเขา

  • Marko Elez เคยทำงานในหลายบริษัทของ Musk เช่น X, SpaceX, xAI และปัจจุบันสังกัด กระทรวงแรงงาน โดยถูกส่งไปปฏิบัติงานในหลายหน่วยงานของรัฐ
  • ก่อนหน้านี้ระหว่างทำงานที่กระทรวงการคลัง เขาเคยมีปัญหาจาก การรั่วไหลของข้อมูลอ่อนไหว และถูกไล่ออกหลังเกิดประเด็น คำพูดเหยียดเชื้อชาติ ก่อนจะกลับเข้าทำงานอีกครั้ง
  • Politico รายงานว่า Elez เคย ละเมิดนโยบายความปลอดภัยระดับสูง มาก่อน

โค้ดที่ดาวน์โหลดเพิ่มเติมและประเด็นด้านความปลอดภัย

  • ที่เก็บบน GitHub ที่ถูกดาวน์โหลดเพิ่มเติม ได้แก่:
    • Integuru: เฟรมเวิร์กสำหรับ reverse engineering API ของเว็บไซต์
    • Browserless: เครื่องมือทำเว็บอัตโนมัติโดยใช้ browser pool
  • ผู้ใช้ GitHub ตั้งข้อกังวลร้ายแรงต่อความปลอดภัยและความสามารถในการขยายระบบของ async-ip-rotator
    • มีการประเมินว่า “หากโค้ดนี้ถูกใช้ในระบบระดับ production ก็ควรได้รับการตรวจสอบด้านความปลอดภัยทันที”

การหยุดชะงักของการทำงาน NLRB และฉากหลังทางการเมือง

  • ประธานาธิบดีทรัมป์ ปลดกรรมการ NLRB สามคน ทำให้การทำงานของหน่วยงานแทบเป็นอัมพาต
  • ปัจจุบัน Amazon และ SpaceX กำลังฟ้องร้องโดยอ้างว่า NLRB ขัดต่อรัฐธรรมนูญ แต่เมื่อวันที่ 5 มีนาคม ศาลอุทธรณ์ได้ยกคำร้องดังกล่าว
  • Berulis เตือนว่าการรั่วไหลของข้อมูลนี้อาจทำให้บางบริษัทได้เปรียบอย่างไม่เป็นธรรมใน ข้อพิพาทแรงงาน
    • “ทำให้สามารถระบุตัวผู้จัดตั้งสหภาพแรงงานแล้วไล่ออกได้”

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-04-24
ความเห็นจาก Hacker News

  • โค้ดของ Ge0rg3 เป็น "โอเพนซอร์ส" ที่ใครก็สามารถคัดลอกและนำกลับมาใช้ใหม่ได้เพื่อการไม่แสวงหากำไร

    • เวอร์ชันใหม่ที่แตกแขนงมาจากโค้ดนี้ชื่อ "async-ip-rotator" ถูกคอมมิตขึ้น GitHub โดย Marko Elez แห่ง DOGE ในเดือนมกราคม 2025
    • มันแทบจะเหมือนกับโค้ดต้นฉบับทุกอย่าง แต่ลบคอมเมนต์ออก เพิ่ม async เล็กน้อย และมีการเปลี่ยนแปลงเล็กน้อย
    • อย่างไรก็ตาม ไลเซนส์ GPL3 เดิมหายไป
    • ยากจะคาดหวังว่าคนของ DOGE จะเข้าใจหรือเคารพเรื่องนี้

  • ตามคำร้องเรียนของผู้เปิดโปง Daniel J. Berulis ระบุว่า ราววันที่ 11 มีนาคม 2025 เมตริกของ NxGen แสดงการใช้งานที่ผิดปกติ

    • หลังจาก DOGE เข้าถึงระบบของ NLRB ก็มีผู้ใช้ที่มี IP address จาก Primorskiy Krai ประเทศรัสเซีย เริ่มพยายามล็อกอิน
    • ความพยายามเหล่านี้ถูกบล็อก แต่ก็เป็นสัญญาณเตือนอย่างมาก
    • มีการพยายามล็อกอินโดยใช้หนึ่งในบัญชีที่เพิ่งสร้างขึ้นใหม่ซึ่งใช้กับกิจกรรมที่เกี่ยวข้องกับ DOGE และเหตุที่ flow การยืนยันตัวตนถูกบล็อกก็เพราะนโยบายห้ามล็อกอินจากนอกประเทศ
    • ความพยายามล็อกอินลักษณะนี้เกิดขึ้นมากกว่า 20 ครั้ง และสิ่งที่น่ากังวลเป็นพิเศษคือหลายครั้งเกิดขึ้นภายใน 15 นาทีหลังจากวิศวกร DOGE สร้างบัญชี

  • พนักงาน DOGE เข้าถึงข้อมูลที่ไม่ควรเข้าถึง

    • มีความเป็นไปได้ว่า DOGE เข้าถึงบัญชีที่มีสิทธิ์มหาศาลและดาวน์โหลดข้อมูลไป 10GB
    • มีความเป็นไปได้ว่าข้อมูลนี้ถูกนำไปใช้อย่างผิดกฎหมาย
    • ยังไม่ชัดเจนว่า POTUS สามารถอนุญาตการเข้าถึงเช่นนั้นได้หรือไม่

  • พนักงาน DOGE ดาวน์โหลดโค้ดที่ใช้พูล IP address ของ AWS เพื่อเลี่ยงข้อจำกัด

    • โค้ดเขียนได้แย่มาก
    • อาจเป็นพวกเหยียดเชื้อชาติ

  • มีการตั้งคำถามว่าพนักงาน DOGE อาจได้ประโยชน์อย่างไรจากการใช้ IP address "ไม่จำกัด" ของ AWS เพื่อทำ web page scraping แบบอัตโนมัติและคัดลอกข้อมูลอ่อนไหวจากฐานข้อมูลภายในของ NLRB

    • มีการตั้งคำถามว่ามี 10,000 เซสชันยืนยันตัวตนกับฐานข้อมูลพร้อมกันและ scrape ข้อมูลจริงหรือไม่
    • หากมีระบบที่เปิดให้เข้าถึงข้อมูลที่อ่อนไหวอย่างยิ่งจาก IP ภายนอกได้ และบัญชีเดียวสามารถล็อกอิน 10,000 ครั้งเพื่อ scrape ข้อมูลได้ ก็ถือว่ามีปัญหา

  • มีการโพสต์คำวิจารณ์โค้ดของ Marko Elez ไว้ในหน้า GitHub "issues"

    • โค้ดนี้ถูกประเมินว่า "ไม่ปลอดภัย ขยายต่อไม่ได้ และล้มเหลวทางวิศวกรรมในระดับพื้นฐาน"
    • คำวิจารณ์นี้ดูเหมือนถูกสร้างโดย AI

  • มีข้อกล่าวหาว่า CEO ของ Tesla และ Space-X จ้าง script kiddie

  • มีคนบอกว่าควรมีใครสักคนติดคุกเพราะเรื่องนี้

    • นี่ไม่ใช่แค่ความเข้าใจผิดธรรมดา แต่เป็นการโจมตีโดยเจตนาต่อพลเมืองอเมริกันทุกคน

  • มีการวิจารณ์แพ็กเกจที่ถูกเผยแพร่สู่สาธารณะบน GitHub

    • ดูเหมือนจะไม่รู้ว่าสามารถทำให้เป็น private ได้

  • มีความกังวลเกี่ยวกับการเข้าถึงฐานข้อมูลของรัฐบาลแบบไร้ร่องรอยและครบถ้วนสมบูรณ์

  • Berulis อ้างว่าเขาเปิดเผยเรื่องนี้เพราะหัวหน้าสั่งไม่ให้รายงานต่อ US-CERT

    • หากคำกล่าวอ้างนี้เป็นจริง ก็ชวนให้ตั้งคำถามว่าแรงจูงใจของหัวหน้าในการปกปิดเรื่องนี้คืออะไร
    • เป็นไปได้ว่าหน่วยงานอื่น ๆ ของรัฐบาลกลางที่เหลือก็อาจเปราะบางต่อผู้คุกคามรายเดียวกัน
    • มีการตั้งคำถามว่าหัวหน้าได้รายงานวิกฤตความปลอดภัยนี้ผ่านช่องทางที่ดีกว่าหรือพยายามเก็บเงียบทั้งหมดกันแน่