2 คะแนน โดย GN⁺ 2025-04-24 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Daniel J. Berulis สถาปนิกด้านความปลอดภัยของ NLRB อ้างว่าบัญชี DOGE ดึง ข้อมูลมากกว่า 10GB จากไฟล์คดีที่ละเอียดอ่อนเมื่อต้นเดือนมีนาคม และพบว่าชุดโค้ด GitHub หนึ่งชุดที่ถูกดาวน์โหลดมีความคล้ายคลึงอย่างมากกับโค้ดของ Marko Elez พนักงาน DOGE
  • Berulis อ้างว่าบัญชีที่สร้างขึ้นสำหรับ DOGE มีสิทธิ์ tenant admin และถูกขอให้ได้รับข้อยกเว้นจากการบันทึกล็อกเครือข่าย โดยสิทธิ์อยู่ในระดับที่สามารถเข้าถึง คัดลอก แก้ไขข้อมูล และจำกัดการมองเห็นล็อกได้
  • คำอธิบายของโค้ดที่เป็นประเด็นกล่าวถึงการใช้ IP pool ขนาดใหญ่ของ AWS API Gateway เพื่อสร้าง “pseudo-infinite IPs” สำหรับการเว็บสแครปและ brute force และเชื่อมโยงกับ requests-ip-rotator บน GitHub รวมถึง async-ip-rotator ที่ Elez fork ในเดือนมกราคม 2025
  • ไฟล์เก็บถาวร GitHub ที่ถูกดาวน์โหลดมาด้วยยังมี Integuru เครื่องมือ reverse engineering API ของเว็บไซต์ และ Browserless เฮดเลสเบราว์เซอร์สำหรับงานอัตโนมัติบนเว็บ ซึ่งทั้งหมดสอดคล้องกับบริบทของการสแครปและอัตโนมัติ
  • ไฟล์คดีของ NLRB มีข้อมูลของพนักงานที่ต้องการจัดตั้งสหภาพแรงงานและเอกสารกรรมสิทธิ์ของบริษัท Berulis จึงกังวลว่าหากข้อมูลนี้ตกไปอยู่ในมือบริษัท อาจทำให้ฝ่ายจำเลยได้ ความได้เปรียบที่ไม่เป็นธรรม ในข้อพิพาทแรงงานที่กำลังดำเนินอยู่

ข้อกล่าวหาของผู้แจ้งเบาะแส NLRB

  • Daniel J. Berulis สถาปนิกด้านความปลอดภัยของ NLRB อ้างว่าเจ้าหน้าที่ที่เกี่ยวข้องกับ DOGE นำ ข้อมูลระดับกิกะไบต์ ออกจากไฟล์คดีที่ละเอียดอ่อนของหน่วยงานเมื่อต้นเดือนมีนาคม
  • ตามเอกสารแจ้งเบาะแสของ Berulis เจ้าหน้าที่ DOGE เข้าพบผู้บริหาร NLRB เมื่อวันที่ 3 มีนาคม และเรียกร้องให้สร้าง บัญชี tenant admin ที่มีอำนาจสูงหลายบัญชี
    • มีการขอให้บัญชีเหล่านี้ถูกยกเว้นจากการบันทึกล็อกเครือข่าย ซึ่งโดยปกติจะเก็บบันทึกกิจกรรมอย่างละเอียด
    • เขาระบุว่าบัญชี DOGE ใหม่มีสิทธิ์ไม่จำกัดในการอ่าน คัดลอก และแก้ไขข้อมูลในฐานข้อมูลของ NLRB
    • เขาระบุว่ายังเป็นสิทธิ์ที่สามารถจำกัดการมองเห็นล็อก ชะลอการเก็บรักษา ส่งล็อกไปที่อื่น หรือเอาล็อกออกทั้งหมดได้
  • Berulis อ้างว่าบัญชี DOGE ได้รับสิทธิ์ผู้ใช้ระดับสูงสุดที่แม้แต่เขาหรือผู้บังคับบัญชาของเขาก็ยังไม่มี

การดาวน์โหลดโค้ด GitHub และเครื่องมือหมุนเวียน IP

  • Berulis ระบุว่าเขาพบว่าบัญชี DOGE บัญชีหนึ่งดาวน์โหลด ไลบรารีโค้ด GitHub ภายนอก 3 รายการ ที่ NLRB หรือผู้รับเหมาไม่เคยใช้งานมาก่อน
  • README ของชุดโค้ดหนึ่งในนั้นอธิบายว่าใช้ IP pool ขนาดใหญ่ของ AWS API Gateway เป็นเหมือนพร็อกซี เพื่อสร้าง “pseudo-infinite IPs” สำหรับการเว็บสแครปและ brute force
  • เมื่อค้นหาข้อความคำอธิบายเดียวกัน จะพบรีโพซิทอรี requests-ip-rotator ของผู้ใช้ GitHub ชื่อ Ge0rg3 โดยไลบรารีนี้ระบุว่าสามารถช่วยหลีกเลี่ยงข้อจำกัดการร้องขอที่อิงตาม IP ได้
  • คำอธิบายดังกล่าวมีเนื้อหาว่าเป็น “ไลบรารี Python ที่สร้าง pseudo-infinite IPs สำหรับการเว็บสแครปและ brute forcing โดยใช้ large IP pool ของ AWS API Gateway เป็นพร็อกซี”
  • โค้ดของ Ge0rg3 ถูกระบุว่าเป็นโอเพนซอร์สที่ทุกคนสามารถคัดลอกและนำกลับมาใช้ซ้ำได้ในเชิงไม่พาณิชย์

ความเชื่อมโยงกับ async-ip-rotator ของ Marko Elez

  • มีโปรเจกต์ใหม่ชื่อ async-ip-rotator ที่แตกแขนงมาจาก requests-ip-rotator ของ Ge0rg3 และพนักงาน DOGE Marko Elez ได้ commit ขึ้น GitHub ในเดือนมกราคม 2025
  • ข้อความ README ของไฟล์ GitHub ที่ผู้แจ้งเบาะแสระบุว่าผู้ใช้ DOGE ดาวน์โหลด มีคำอธิบายเดียวกับโค้ดที่อิงจาก fork ของ Elez
  • Elez ถูกระบุว่าเป็นหนึ่งในบุคลากรหลักของ DOGE ที่เข้าถึงระบบจ่ายเงินส่วนกลางของ Treasury Department
    • เขามีประวัติทำงานกับบริษัทของ Musk หลายแห่ง เช่น X, SpaceX, xAI
    • The Wall Street Journal เชื่อมโยง Elez กับโพสต์บนโซเชียลมีเดียที่สนับสนุนแนวคิดเหยียดเชื้อชาติและสุพันธุศาสตร์
    • Elez ลาออกหลังเกิดข้อถกเถียง แต่ถูกจ้างกลับหลังได้รับการสนับสนุนจากประธานาธิบดี Donald Trump และรองประธานาธิบดี JD Vance
  • ตามรายงานของ Politico ปัจจุบัน Elez เป็นผู้ช่วยที่ Labor Department และถูกส่งไปประจำหลายหน่วยงาน ซึ่งรวมถึง Department of Health and Human Services ด้วย
  • Politico อ้างเอกสารยื่นต่อศาลว่า ในช่วงแรกที่ Elez ทำงานที่ Treasury เขาได้ส่งสเปรดชีตที่มีชื่อและข้อมูลการจ่ายเงินให้เจ้าหน้าที่ General Services Administration ซึ่งเป็นการละเมิดนโยบายความมั่นคงปลอดภัยสารสนเทศ

เครื่องมืออื่นที่ถูกดาวน์โหลดมาด้วย

  • Berulis ระบุว่าไฟล์เก็บถาวร GitHub อีกสองรายการที่พนักงาน DOGE ดาวน์โหลดลงระบบของ NLRB คือ Integuru และ Browserless
  • Integuru เป็นซอฟต์แวร์เฟรมเวิร์กที่ออกแบบมาสำหรับ reverse engineering อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) ที่เว็บไซต์ใช้ดึงข้อมูล
  • Browserless เป็นเฮดเลสเบราว์เซอร์สำหรับทำงานอัตโนมัติบนเว็บ
    • เว็บสแครป
    • การทดสอบอัตโนมัติ
    • งานที่ต้องใช้ browser pool หลายชุด

คำวิจารณ์คุณภาพโค้ดและการลบรีโพซิทอรี

  • เมื่อวันที่ 6 กุมภาพันธ์ มีคนโพสต์คำวิจารณ์ยาวในหน้า GitHub issues ของ async-ip-rotator ของ Elez และเรียกโค้ดดังกล่าวว่า “insecure, unscalable and a fundamental engineering failure”
  • คำวิจารณ์นั้นชี้ว่า หากโค้ดนี้เป็นเพียงโปรเจกต์ข้างเคียง ก็เป็นแค่โค้ดที่แย่ แต่หากมีการนำการใช้งานที่คล้ายกันไป deploy ในสภาพแวดล้อมที่จัดการข้อมูลละเอียดอ่อน ก็ควรถูกตรวจสอบทันที
  • หลังบทความเผยแพร่ รีโพซิทอรีโค้ดของ Elez ถูกลบ
  • เวอร์ชันเก็บถาวรของรีโพซิทอรีที่ถูกลบยังอยู่ ที่นี่

ความละเอียดอ่อนของข้อมูล NLRB และผลกระทบต่อข้อพิพาทแรงงาน

  • เอกสารแจ้งเบาะแสของ Berulis อ้างว่าบัญชี DOGE ดาวน์โหลดข้อมูล มากกว่า 10GB จากฐานข้อมูลไฟล์คดีของ NLRB
  • ฐานข้อมูลนี้มีบันทึกละเอียดอ่อนจำนวนมาก รวมถึงข้อมูลเกี่ยวกับพนักงานที่ต้องการจัดตั้งสหภาพแรงงานและเอกสารธุรกิจที่เป็นกรรมสิทธิ์ของบริษัท
  • Berulis กล่าวว่าเขาออกมาเปิดเผยต่อสาธารณะเพราะผู้บังคับบัญชาบอกเขาไม่ให้รายงานเรื่องนี้ต่อ US-CERT ซึ่งขัดกับข้อตกลงก่อนหน้า
  • Berulis กังวลว่า หากการถ่ายโอนข้อมูลโดยไม่ได้รับอนุญาตเป็นความจริง อาจทำให้ฝ่ายจำเลยได้เปรียบอย่างไม่เป็นธรรมในข้อพิพาทแรงงานหลายคดีที่ค้างอยู่กับ NLRB
    • เขากล่าวว่าไม่ว่าบริษัทใด หากได้ข้อมูลคดีไปก็จะมีความได้เปรียบที่ไม่เป็นธรรม
    • เขากล่าวว่าบริษัทอาจระบุตัวพนักงานและผู้จัดตั้งสหภาพแรงงาน แล้วไล่ออกโดยไม่ต้องเปิดเผยเหตุผลได้

สถานการณ์ทางกฎหมายรอบ NLRB

  • หลังประธานาธิบดี Trump ปลดสมาชิกคณะกรรมการ 3 คน NLRB สูญเสีย quorum ที่จำเป็นต่อการปฏิบัติหน้าที่ และอยู่ในสภาพถูกจำกัดโดยพฤตินัย
  • Amazon และ SpaceX ของ Musk กำลังดำเนินคดีกับ NLRB จาก complaint ที่ NLRB ยื่นในข้อพิพาทเกี่ยวกับสิทธิแรงงานและการจัดตั้งสหภาพแรงงาน
  • ทั้งสองบริษัทกำลังโต้แย้งในทำนองว่าการมีอยู่ของ NLRB เองขัดต่อรัฐธรรมนูญ
  • เมื่อวันที่ 5 มีนาคม ศาลอุทธรณ์สหรัฐฯ มีมติเอกฉันท์ยกคำโต้แย้งของฝ่าย Musk ที่ว่าโครงสร้างของ NLRB ขัดรัฐธรรมนูญ
  • KrebsOnSecurity ระบุว่าได้ขอความเห็นจากทั้ง NLRB และ DOGE และจะอัปเดตหากได้รับคำตอบ

1 ความคิดเห็น

 
GN⁺ 2025-04-24
ความคิดเห็นบน Hacker News
  • โค้ดของ Ge0rg3 เป็น โอเพนซอร์ส ในแง่ที่ใคร ๆ ก็สามารถคัดลอกและนำไปใช้ซ้ำแบบไม่ใช่เชิงพาณิชย์ได้ และ “async-ip-rotator” ที่ Marko Elez จาก DOGE อัปโหลดขึ้น GitHub ในเดือนมกราคม 2025 ดูเหมือนเป็น fork ที่ดัดแปลงมาจากโค้ดนี้
    โค้ดต้นฉบับ: https://github.com/Ge0rg3/requests-ip-rotator
    fork: https://github.com/markoelez/async-ip-rotator
    โค้ดแทบจะเหมือนกัน แค่ลบคอมเมนต์ออก แล้วโรย async ลงไปนิดหน่อยและแก้เล็ก ๆ น้อย ๆ ระดับที่ดูเหมือนเอาไปวางใน LLM แล้วขอให้แปลงเป็นแบบอะซิงโครนัส แต่ ไลเซนส์ GPL3 เดิมกลับหายไป ซึ่งดูไม่ใช่เรื่องที่คนของ DOGE จะเข้าใจหรือให้ความเคารพ

    • repository ถูกลบไปแล้ว และ repository อื่นอีก 26 รายการก็หายไปจากบัญชีด้วย ดูเข้ากับรูปแบบที่สมาชิก DOGE ลบข้อมูลอย่างรวดเร็วเมื่อถูกจับตามอง และกรณี “แฮ็กเกอร์วัยรุ่น” ก่อนหน้านี้ก็คล้ายกัน
      หน้ารายการ repository ที่เก็บถาวรไว้: https://archive.ph/LI7tt; สำเนาเก็บถาวรของจำนวน repository เดิม: https://archive.ph/tgkg5
      0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
    • เมื่อวันที่ 6 กุมภาพันธ์ มีใครบางคนเขียนวิจารณ์โค้ดของ Elez อย่างยาวและละเอียดใน GitHub issue ของ async-ip-rotator โดยบอกว่า “ไม่ปลอดภัย ขยายระบบไม่ได้ และเป็นความล้มเหลวทางวิศวกรรมขั้นพื้นฐาน
      เนื้อหาประมาณว่า “ถ้าเป็น side project ก็จบแค่โค้ดแย่ ๆ แต่ถ้านี่คือวิธีสร้างระบบ production ก็มีเรื่องที่น่ากังวลกว่านั้นมาก implementation นี้พังในระดับพื้นฐาน และถ้ามีของคล้าย ๆ กันถูก deploy ในสภาพแวดล้อมที่จัดการข้อมูลอ่อนไหว ก็ควร audit ทันที”
    • fork ดูเหมือนเพิ่งถูกซ่อนหรือลบไปเมื่อกี้ สงสัยว่ามีใคร clone ไว้ก่อนที่มันจะหายไปไหม
    • GPLv3 กำหนดว่าต้องคงไลเซนส์ไว้ จึงน่าจะรายงานไปยังเจ้าของ repository ต้นทางหรือ GitHub ได้
    • ส่วนที่อัปขึ้น GitHub ยังคลุมเครืออยู่ สิ่งที่ GPL3 กำหนดให้ต้องคงไลเซนส์ไว้คือเมื่อแจกจ่ายต่อ แต่การใส่ไว้ใน repository บน GitHub อย่างน้อยในเชิงศีลธรรมจะถือว่าเป็นการแจกจ่ายต่อหรือไม่นั้นยังไม่ชัดเจน
      การลบไลเซนส์ออกในสำเนาส่วนตัวทำได้โดยสมบูรณ์ตามเงื่อนไขไลเซนส์ และการอัปขึ้น private repository บน GitHub ก็ไม่มีปัญหา แต่ถ้าเอาขึ้น public repository โดยไม่ได้ตั้งใจจะแจกจ่าย เช่นเพราะข้อจำกัดของ private repository ฟรี แบบนี้จะนับอย่างไรก็ยังคลุมเครือ
  • ส่วนนี้ของคำกล่าวอ้างจากผู้แจ้งเบาะแสดูร้ายแรงกว่ามาก
    ราววันที่ 11 มีนาคม 2025 ตัวชี้วัดของ NxGen แสดงการใช้งานผิดปกติในช่วงเวลาหนึ่งของสัปดาห์ก่อนหน้า โดยมีเวลาตอบสนองสูงกว่าค่าฐานมาก และมีการเพิ่มขึ้นของ network output สูงกว่าที่เคยเกิดขึ้นในอดีต เหตุการณ์นี้เกิดแทบจะพร้อมกับเหตุการณ์ข้อมูลรั่วไหล และยังมีจำนวนการล็อกอินที่ถูกบล็อกตามนโยบายการเข้าถึงเพราะเป็นการล็อกอินจากต่างประเทศเพิ่มขึ้นด้วย
    ตัวอย่างเช่น ภายในไม่กี่วันหลังจาก DOGE เข้าถึงระบบของ NLRB ผู้ใช้ที่มี IP address จาก Primorskiy Krai ในรัสเซียเริ่มพยายามล็อกอิน แม้ความพยายามจะถูกบล็อก แต่ก็ถูกมองว่าน่ากังวลเป็นพิเศษ การล็อกอินนั้นใช้หนึ่งในบัญชีใหม่ที่ใช้ในกิจกรรมที่เกี่ยวข้องกับ DOGE และดูเหมือนมีชื่อผู้ใช้กับรหัสผ่านที่ถูกต้อง เพราะ flow การยืนยันตัวตนหยุดลงเฉพาะที่นโยบายบล็อกการล็อกอินจากต่างประเทศเท่านั้น มีความพยายามแบบนี้มากกว่า 20 ครั้ง และที่น่ากังวลเป็นพิเศษคือหลายครั้งเกิดขึ้นภายใน 15 นาทีหลังจากวิศวกร DOGE สร้างบัญชี

    • หากตีความในแง่ดีที่สุด ก็น่าจะเป็นว่าฝั่งรัสเซียฝัง keylogger ไว้ในพีซีของ DOGE และ DOGE ทำงานบนเครือข่ายสาธารณะที่ไม่ปลอดภัย
      ส่วนการตีความที่เลวร้ายที่สุดนั้นเรียบง่ายกว่า คือคนเหล่านี้ทำงานเป็นสายให้รัสเซียและเปิดทางให้รัสเซียเข้ามา หรือไม่ก็ติดตั้ง keylogger เพื่อรัสเซีย
    • บทความควรสรุปประเด็นสำคัญนี้ มากกว่าย่อหน้าท้าย ๆ ที่แทบไม่มีความหมายเรื่องซอฟต์แวร์ scraping ที่พบใน GitHub เขียนได้ไม่ดี
      นี่คือหลักฐานที่ชี้อย่างหนักแน่นว่าบุคลากรของ DOGE กำลังใช้ cloud IP addresses หลายรายการเพื่อทำ scraping
    • สงสัยว่าทำไมการบล็อกแบบ “ห้ามล็อกอินจากต่างประเทศ” ถึงเกิดขึ้นหลังจากตรวจสอบ credentials แล้ว ตามเหตุผลแล้วน่าจะบล็อกก่อนหน้านั้น
    • ถ้าเป็นคนรัสเซียจริง ก็แปลกว่าทำไมถึงพยายามล็อกอินจากรัสเซีย VPN ที่ใช้ IP บ้านในสหรัฐฯ ราคาถูกมาก
    • ถ้าเชื่อมต่อจาก Primorskiy Krai จริง ต่อให้เป็นเรื่องจริงก็เป็นตำแหน่งที่ค่อนข้างเหนือความคาดหมาย ไม่ได้หมายความว่าต้องเป็นของปลอม แต่ก็ไม่ใช่เรื่องปกติและดูไม่ค่อยสมเหตุสมผล
  • ตามข้อมูลจากผู้แจ้งเบาะแส เจ้าหน้าที่ DOGE พบกับผู้บริหารของ NLRB เมื่อวันที่ 3 มีนาคม และเรียกร้องให้สร้างบัญชี “tenant admin” ที่มีอำนาจเต็มหลายบัญชี ซึ่งจะถูกยกเว้นจาก network logging ที่บันทึกรายละเอียดกิจกรรมทั้งหมดของบัญชีนั้น
    ถ้าใช้หลักมีดโกนของ Occam สถานการณ์ก็ดูค่อนข้างชัดเจน แต่ก็สงสัยว่าคำขอแบบนี้จะมีเหตุผลที่ชอบธรรมได้หรือไม่

    • ที่แย่กว่านั้นคือรายละเอียดเพิ่มเติมจากผู้แจ้งเบาะแสว่า ประมาณ 15 นาทีหลังจากบัญชี DOGE บัญชีหนึ่งถูกสร้างขึ้น ก็มีความพยายามล็อกอินจากรัสเซียด้วยรหัสผ่านที่ถูกต้อง ไม่มีคำอธิบายมากนักที่ทำให้ DOGE ดูดีได้
    • สงสัยว่าเป็นเรื่องปกติหรือไม่ที่ระบบซอฟต์แวร์จะมีฟังก์ชันให้บัญชี “tenant admin” ที่มีสิทธิ์ทั้งหมดถูก ยกเว้นจาก network logging โดยเฉพาะถ้าเป็นระบบที่พึ่งพาความสามารถในการ audit อย่างมาก ก็ยิ่งแปลก
    • ไม่มีเหตุผลที่ชอบธรรม เรื่องนี้ทำให้สิ่งที่ฝั่ง DOGE ของ Musk อ้างว่าค้นพบ ไม่สามารถรับไว้ตามตัวอักษรได้
      เมื่อไม่มี audit record ก็ไม่สามารถแสดงหลักฐานได้ว่าผลการค้นพบไม่ได้ถูกแต่งขึ้น ต่อให้ครั้งต่อไปอ้างว่ามีคนอายุ 170 ปีได้รับเช็คประกันสังคม ก็ไม่มีทางพิสูจน์ได้ว่าไม่ได้ลบปีเกิดออกไป 100 ปีจากตารางบางตาราง
    • ถ้าเป็นเพราะรู้ว่าสิ่งที่ตั้งใจทำไม่ถูกต้อง จึงต้องการ ซ่อนร่องรอย ก็อธิบายได้
    • นึกเหตุผลไม่ออก ต่อให้ให้สิทธิ์ใครบางคนเข้าถึงและแก้ไขข้อมูลได้กว้างขวาง ก็ไม่ควรปิด audit log
  • ดูค่อนข้างชัดเจนว่าเจ้าหน้าที่ DOGE เข้าถึงข้อมูลที่ไม่ควรเข้าถึง
    ตามบทความ DOGE ได้เข้าถึงบัญชีที่มีสิทธิ์อ่านและแก้ไขกว้างมาก และอาจมีใครบางคนจาก DOGE ดาวน์โหลดข้อมูล 10GB ลงมา วิธีที่ใช้อาจผิดกฎหมาย หรือแม้แต่การเข้าถึงตั้งแต่แรกก็อาจผิดกฎหมาย ยังไม่ชัดเจนว่าประธานาธิบดีสามารถมอบสิทธิ์เข้าถึงแบบนั้นได้หรือไม่ และโดยส่วนตัวคิดว่าไม่ได้
    อีกทั้งเจ้าหน้าที่ DOGE ยังดาวน์โหลดโค้ดที่สามารถใช้พูล IP ขนาดใหญ่ของ AWS เพื่อเลี่ยงข้อจำกัดได้ โค้ดนั้นเขียนได้แย่มาก และคนคนนั้นยังเคยแสดงความเห็นเหยียดเชื้อชาติด้วย
    อย่างไรก็ตาม ไม่ค่อยเข้าใจว่าวิธีสกรีนสแครปหน้าเว็บอัตโนมัติด้วยที่อยู่ IP “ไม่จำกัด” ของ AWS จะช่วยอะไรในการคัดลอกข้อมูลที่อ่อนไหวอย่างยิ่งจากฐานข้อมูลภายในของ NLRB ได้ ถ้าระบบข้อมูลที่อ่อนไหวสุด ๆ เข้าถึงได้จาก IP ภายนอก และอนุญาตให้บัญชีเดียวล็อกอินพร้อมกัน 10,000 เซสชันเพื่อกวาดข้อมูล DB ภายใน ระบบนั้นก็พังหนักแล้ว หรือไม่ก็สงสัยว่าหมายถึงเขาแก้โค้ดนี้ให้ใช้ IP ภายในของ NLRB 100 หรือ 10,000 ตัวกันแน่ ระบบอัตโนมัติที่กล่าวถึงภายหลังดูสมเหตุสมผลกว่าในฐานะเครื่องมือช่วยงาน

    • ผู้เขียนยกเรื่องการสแครป IP ขึ้นมา แต่ไม่ได้อธิบายว่าเชื่อมโยงกันอย่างไร จึงค่อนข้างสับสน ไม่รู้ว่าเขาหมายถึงยูทิลิตีนี้ถูกใช้ขโมยข้อมูล หรือสองเรื่องนี้แยกกันโดยสิ้นเชิง
    • สำหรับส่วนที่ว่า “ประธานาธิบดีคงทำไม่ได้” ก็สงสัยว่ามีข้อมูลใดของหน่วยงานรัฐบาลกลางที่ หัวหน้าฝ่ายบริหาร ไม่สามารถมีสิทธิ์เข้าถึงได้กันแน่
  • ดูเหมือนว่า CEO ของ Tesla และ SpaceX ซึ่งอ้างว่าตัวเองมี IQ สูงและเป็นที่รู้กันว่าเป็นโปรแกรมเมอร์ แท้จริงแล้วได้จ้าง script kiddie เข้ามาอยู่ในหน่วยเดลตาฟอร์ซชั้นยอดเพื่อย่อขนาดเทคโนโลยีของรัฐบาล

    • ผมไม่ชอบ Elon Musk มาตั้งแต่ก่อนที่เขาจะดูเท่เสียอีก ช่วงแรกเคยเป็นแฟน Tesla แต่พออ่าน “แผนแม่บทลับสุดยอด” ของ Musk แล้วรู้สึกว่าประธานบอร์ดดูโง่
      แต่ภายหลังผมแปลกใจที่ได้ยินการประเมินว่าในช่วงต้นของ SpaceX นั้น Musk เป็นผู้นำที่มีความสามารถและไหวพริบ บางทีอาจเป็นผลจากลัทธิบูชาตัวบุคคล แต่ก็ฟังดูเป็นไปได้ ตอนนั้นเหมือนเขาไม่ได้แสดงบทเป็นวิศวกรระดับท็อป แต่รู้ตำแหน่งของตัวเองในฐานะผู้จัดการวิศวกรรม เขาอาจเหมือนผู้จัดการที่ดีซึ่งแม้เขียนโค้ดไม่เป็น แต่เข้าใจซอฟต์แวร์ดี และแยกออกว่าเมื่อไรควรลงมือโค้ดเองกับเมื่อไรควรผลักดันผ่านการออกแบบ
      สุดท้ายแล้ว ชื่อเสียง ก็เหมือนยาแรง ผมไม่ได้คิดว่า Musk มี “IQ สูง” เป็นพิเศษ และดูจากการแต่งงานครั้งแรก เขาก็ดูเป็น loser ที่เกลียดผู้หญิงมาตลอด แต่การถูกยกย่องว่าเป็น “Tony Stark ในชีวิตจริง” น่าจะทำให้สมองเขาพัง ส่วนคีตามีนก็คงไม่ได้ช่วยอะไร
    • ในวงการนี้มีปรากฏการณ์ที่คนซึ่งขาดความสามารถบางอย่าง กลับโน้มน้าวตัวเองว่าตนเป็นอัจฉริยะในการมองเห็นและใช้ความสามารถนั้นในตัวคนอื่น
      คนแบบนั้นจะค้นหา “ที่สุดของที่สุด” ในจินตนาการของตนมาไว้รอบตัว และการที่ความเชื่อนั้นไม่ถูกท้าทายก็สำคัญต่ออัตตาของเขามาก พวกเขาจะมองไม่เห็นหลักฐานที่ขัดแย้ง และคนที่ตน “ค้นพบ” ต้องเป็นคนไม่ธรรมดา เพื่อยืนยันความสามารถในการคัดเลือกคนของตัวเอง
      ดูเหมือนว่านี่ก็กำลังเกิดขึ้นเช่นกัน คนรอบตัว Elon ดูไม่ได้โดดเด่นนัก และความสามารถก็น่าสงสัยมาก แต่ถ้าจะค้ำจุนตำนานของตัวเอง เขาต้องมีฮาเร็มของ “Super Coders
    • เรากำลังประเมินความเป็นไปได้ต่ำเกินไปว่าคนเหล่านี้อาจตั้งใจสร้างความวุ่นวายและอยากทำให้ระบบล้มเหลว ความฝันของพรรครีพับลิกันคือให้รัฐบาลล้มเหลวแล้วถูกแปรรูปเป็นเอกชน และก็สงสัยว่าจะมีวิธีไหนดีกว่านี้ในการทำให้รัฐบาลล้มเหลว
    • จากบทความทำนองเดียวกัน เท่าที่ผมพอรู้ได้ ทุกคนล้วนเป็น script kiddie
    • เห็นด้วยกับคำว่า script kiddie และรายงานข่าวโดยรวมก็ทำให้เห็นแบบนั้น แต่ในอีกแง่หนึ่ง นั่นอาจเป็นเจตนาก็ได้
      ข้อความคือ แค่นักศึกษาวิทยาการคอมพิวเตอร์ธรรมดาไม่กี่คนที่ยังอายุไม่ถึงขั้นเช่ารถได้ มาตรวจดูข้อมูลการเงินพื้นฐานที่สุดของหน่วยงานรัฐ ก็สามารถประหยัดเงินได้หลายหมื่นล้านดอลลาร์ คนเหล่านี้ไม่ควรเป็น “เดลตาฟอร์ซ” แต่ควรเป็นอินเทิร์น
      ไม่ได้จะปกป้องวิธีการเพื่อเป้าหมาย แต่ก็อยากให้ภาษีถูกใช้อย่างมีประสิทธิภาพมากขึ้น ขณะเดียวกัน ระดับสิทธิ์เข้าถึง ที่ให้คนเหล่านี้ก็น่ากังวลอย่างยิ่ง และแทบไม่มีความรับผิดชอบตรวจสอบได้เลย
  • แม้จะไม่สนว่า Marko เป็นใคร ก็แปลกที่คนสุ่ม ๆ ทำไมถึงไปโพสต์ ประจานแบบสาธารณะ ใน repository แบบนั้น ผมไม่เคยเห็น repository ที่บังเอิญผ่านตาแล้วอยากเข้าไปโจมตี และคำวิจารณ์นั้นก็มีกลิ่นเหมือน AI สร้างอยู่
    ลิงก์ที่อ้างถึง: https://github.com/markoelez/async-ip-rotator/issues/1
    ความเห็นต่อมาก็เป็นปฏิสัมพันธ์ที่ค่อนข้างแปลกและน่าสนใจเกินกว่าจะมองว่าเป็นเรื่องบังเอิญ

    • มันจะแปลกก็ต่อเมื่อ “ไม่สนว่า Marko เป็นใคร” เท่านั้น นี่ไม่ใช่เรื่องบังเอิญ แต่มีใครบางคนเปิดให้เห็นว่า “โค้ดเดอร์อัจฉริยะ” ของ DOGE แท้จริงแล้วเปลือยล่อนจ้อน
    • วันที่ 6 กุมภาพันธ์ Marko Elez ประกาศลาออกจาก DOGE หลังจาก WSJ พบโพสต์เหยียดเชื้อชาติหลายโพสต์ที่เขาเขียนในปี 2024 โดย WSJ รายงานเรื่องนี้วันที่ 5
      เรื่องนั้นคงทำให้ใครบางคนสงสัยว่าฝีมือการเขียนโค้ดจริง ๆ ของเขาอยู่ระดับไหน และมีโอกาสสูงที่เขาจะไปดู repository ที่ Marko สร้างไว้ ต่อมา Musk ทำ “โหวต” บน X ว่าจะจ้าง Elez กลับเข้า DOGE หรือไม่ และในวันที่ 20 กุมภาพันธ์ Elez ก็มีที่อยู่อีเมลรัฐบาลสหรัฐฯ อีกครั้ง ส่วนวันที่ 21 กุมภาพันธ์มีรายงานว่าเขาทำงาน DOGE ที่สำนักงานประกันสังคม
    • ความเห็นที่สองใน issue อธิบายไว้ค่อนข้างชัดว่าทำไมความเห็นแรกถึงถูกโพสต์ขึ้นมา คือหลังเห็นข่าวลาออก เขารู้สึกว่าต้องพูดถึงความย้อนแย้งที่คนซึ่งเชื่อมโยงกับบัญชีที่สนับสนุน “การทำให้ความเกลียดชังชาวอินเดียเป็นเรื่องปกติ” และ “นโยบายอพยพแบบสุพันธุศาสตร์” มีมุมมองแบบนั้นในบริบทของอุตสาหกรรม IT
    • ประมาณ 20 นาทีหลังความเห็นของ OP ถูกโพสต์ repository ก็ถูกถอดลง ลิงก์เก็บถาวร: https://web.archive.org/web/20250423135719/https://github.co...
    • ไม่รู้ว่าทำไมต้องมองว่าแปลก ผู้ใช้ที่เขียนโพสต์นั้นดูเป็นผู้ใช้ที่ใช้งานมานานพอสมควร และจาก repository สาธารณะก็ดูเหมือนทำงานในบริบทใกล้เคียงกัน จึงเป็นไปได้มากพอว่าเขาเคยลองใช้ async-ip-rotator ในโปรเจกต์ของตัวเอง
  • การที่ปล่อยแพ็กเกจพวกนี้ไว้แบบสาธารณะบน GitHub นั้นแปลกในตัวมันเอง ไม่รู้หรือไงว่าสามารถทำให้เป็นส่วนตัวได้ พูดตรง ๆ มันแสดงให้เห็นว่าคนพวกนี้โง่แค่ไหน

    • หรือไม่ก็อาจกล้าขึ้นเพราะรู้ว่าจะไม่มีผลลัพธ์อะไรตามมา
      ดูรายชื่อการอภัยโทษที่รัฐบาลชุดนี้ออกมาก็พอ คนพวกนี้จะไม่ถูกฟ้องร้องด้วยซ้ำ
    • ในกรณีเฉพาะนี้อาจไม่ได้มีความหมายมากนัก แต่ fork แบบส่วนตัวบน GitHub ไม่ได้เป็นส่วนตัวอย่างสมบูรณ์: https://docs.github.com/en/pull-requests/collaborating-with-...
    • ถ้าจะทำให้ fork ของ repository สาธารณะเป็นส่วนตัว ต้องใช้ บรรทัดคำสั่ง git
    • นี่เป็นการนำแพ็กเกจสาธารณะกลับมาใช้ และแพ็กเกจเหล่านั้นก็เปิดเป็นสาธารณะมาหลายปีแล้ว คนคนหนึ่งเพิ่มการเปลี่ยนแปลงแล้วสร้าง fork สาธารณะขึ้นมา ซึ่งนั่นไม่ใช่จุดประสงค์ของโอเพนซอร์สหรืออย่างไร
  • เรื่องนี้ควรมีใครสักคนต้องติดคุก นี่ไม่ใช่ความเข้าใจผิดธรรมดา แต่เป็น การโจมตีโดยเจตนา ต่อพลเมืองอเมริกันทุกคน

    • คนที่ควรได้เห็นและเข้าใจเรื่องนี้อาศัยอยู่ในความจริงอีกแบบหนึ่ง และข้อเท็จจริงที่น่าอึดอัดแบบนี้จะถูกดึง แปลง และโหลดให้กลายเป็นความโกรธอันชอบธรรมต่อคนที่พวกเขาเกลียด
      รัฐซ้อนรัฐ ที่พวกเขากังวลก็คือสิ่งนี้ และรองเท้าบูตที่จะเหยียบย่ำพวกเขาก็คือสิ่งนี้เช่นกัน
      แก้ไข: ความเห็นแม่เคยอยู่อันดับสูงสุดของบทความนี้ แต่ตอนนี้อยู่ล่างสุดแล้ว?
    • ตอนนี้ความเป็นไปได้ที่จะเกิดเรื่องแบบนั้นคือ 0
    • ดูเหมือนจะลืมไปว่าประธานาธิบดีคือใคร คนพวกนี้จะรอดตัวจากเรื่องทั้งหมดนี้และเรื่องอื่น ๆ ทั้งหมด ถึงอย่างนั้นก็ไม่ได้หมายความว่าไม่ควรพยายาม แต่ต้องมองตามความเป็นจริง
    • ผมเชื่อว่าในลิ้นชักของ Trump มี หนังสืออภัยโทษ กองไว้สำหรับทุกคนที่เกี่ยวข้องกับเรื่องนี้ ถ้าพวกเขาคิดว่าสักวันหนึ่งจะต้องเผชิญผลลัพธ์จริง ๆ ก็คงไม่ฝ่าฝืนกฎหมายมากมายขนาดนี้ทั่วทั้งรัฐบาล
      ถ้าเครื่องมือที่ใช้ขัดขวางไม่ให้สภาคองเกรสและรัฐบาลชุดถัดไปสะสางเรื่องนี้ไม่ใช่การอภัยโทษ ทางเลือกอื่นก็ชวนหดหู่เกินกว่าจะคิด
    • ต่อให้มีใครพยายามฟ้องร้อง สุดท้ายก็จะได้รับอภัยโทษอยู่ดี ดังนั้นในทางปฏิบัติคงยาก
  • การมีสิทธิ์เข้าถึงฐานข้อมูลของรัฐบาลอย่างสมบูรณ์ในแบบที่ติดตามไม่ได้ ทำให้แทบจินตนาการ ผลกระทบต่อเนื่อง ไม่ออก

    • สิ่งที่เราได้ยินมีเพียงกรณีที่ใครบางคนยอมเสี่ยงเป็นผู้แจ้งเบาะแส และสามารถนำเรื่องออกมาข้างนอกได้จริง
      ได้แต่หวังว่าจะมีหลักฐานเพียงพอให้ผู้คนรับเรื่องนี้อย่างจริงจัง ส่วนจะยังมีกรณีที่มีโอกาสถูกเปิดเผยเหลืออยู่มากแค่ไหน คงต้องปล่อยให้ผู้อ่านพิจารณาเอง
    • เท่ากับว่าได้เข้าถึง ข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับข้อกล่าวหาต่อบริษัทที่ Musk เป็นเจ้าของโดยตรง
  • ไม่แน่ใจว่ากำลังอ้างอะไรกันแน่ หมายความว่าคนของ DOGE เขียนและใช้โค้ด “แฮ็กเกอร์” บน GitHub เพื่อหลบเลี่ยงข้อจำกัดด้านความปลอดภัยของข้อมูล NLRB หรือ? ถ้ามี บัญชี superuser อยู่ในระบบอยู่แล้ว ก็สงสัยว่าทำไมต้องทำแบบนั้น

    • ประเด็นของบทความดูเหมือนจะเป็นว่า สามารถใช้ข้อมูลสาธารณะมาสนับสนุนคำกล่าวอ้างเดิมของผู้แจ้งเบาะแสได้ คนของ DOGE อย่างดีที่สุดก็กำลังทำงานอย่างสะเพร่า และการตีความที่เป็นไปได้มากกว่าคือ นี่เป็นข้อมูลอีกจุดหนึ่งที่บ่งชี้ว่าพวกเขาพยายามซ่อนร่องรอย เพราะรู้ว่าสิ่งที่ทำอยู่จะไม่ผ่านการตรวจสอบทางกฎหมาย
    • DOGE ดาวน์โหลดไลบรารีที่ช่วย นำข้อมูลออก และได้นำข้อมูลที่ได้จากบัญชี superuser ออกไปจริง
      แนะนำให้อ่านเอกสารร้องเรียน: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
    • บทความเขียนได้แย่มาก เอกสารสาธารณะเองอ่านง่ายกว่ามาก
      https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
    • ประเด็นสำคัญถูกกลบไป แต่ความหมายโดยนัยคืออาจมีการดาวน์โหลดข้อมูลจำนวนมากเกี่ยวกับผู้จัดตั้งสหภาพแรงงานแล้วส่งให้บริษัท เพื่อให้บริษัทนั้นสามารถไล่คนเหล่านั้นออกล่วงหน้าได้
    • เพราะมีการเพิ่ม backdoor ที่ไม่ปรากฏใน audit log