Uma divulgação detalhada de WhistleBlower alega que o Departamento de Eficiência do Governo do Presidente Trump (DOGE), liderado por Elon Musk, comprometeu sistemas no Conselho Nacional de Relações Trabalhistas (NLRB) no início de março, removendo os dados sensíveis ao se destacar para obscurecer suas ações. (TS/SCI) Apuração, desde que a divulgação do Congresso e ao Escritório de Conselho Especial dos EUA em 14 de abril através da organização sem fins lucrativos Whistleblower Aid . href=”https://www.npr.org/2025/04/15/nx-s1-53555896/doge-nlrb-elon-musk-spacex-security”Target=”_ Blank”> NPR através de registros internos e entrevistas , reivindicações de candidatos a segment-lotes-lotes-loter-large-loter-lert). envolvido em atividades que desencadearam alarmes. Isso incluiu tentativas suspeitas de login da Rússia usando credenciais válidas criadas minutos antes e o aparente desligamento de uma investigação interna, com Berulis também relatando intimidação direta. O DevSecops é uma prática que integra o teste e a proteção de segurança continuamente ao longo do processo de desenvolvimento e implantação de software. The NLRB investigates unfair labor practices and stores confidential unionization data, employee PII, and proprietary business information, protected under laws like the Privacy Act.
Berulis asserts DOGE required “tenant Nível do proprietário”Contas no ambiente Microsoft Azure Cloud do NLRB. Esse nível fornece controle administrativo irrestrito sobre toda a presença em nuvem de uma organização, excedendo muito o usuário típico ou mesmo as necessidades administrativas de alto nível. Berulis afirmou que as instruções foram transmitidas”que não haveria toras ou registros feitos das contas criadas para funcionários da DOGE”e que os funcionários foram instruídos a”ficarem completamente fora do caminho de Doge e ajudá-los quando perguntaram”. Ele disse à NPR: “Essa era uma enorme bandeira vermelha… viola todos os conceitos centrais de segurança e prática recomendada.”
Acesso mais alto, nenhum registro solicitado
Após o Doge, ganhando esse acesso, Berulis documentou numerosos anomalias técnicas. Around 3-4 a.m. EST between March 4th and 5th, monitoring tools registered a large, anomalous spike of outbound data traffic, estimated at 10 gigabytes, primarily text files, as first reported by Krebsonsecurity .
Berulis preocupou que esses dados pudessem incluir”informações confidenciais sobre sindicatos, casos legais em andamento e segredos corporativos”, incluindo potencialmente “PII de requerentes e entrevistados com questões pendentes antes da agência, mas também muitos outros negócios em que não foram lançados em geral. O monitoramento do tráfego de saída estava ausente, e a equipe de rede mais tarde relatou uma incapacidade de”analisar o tráfego de saída… devido a ferramentas incorretas ou ausentes”. Algumas ações foram atribuídas apenas a uma “conta excluída”.
Berulis também encontrou controles de segurança alterados: autenticação de vários fatores (MFA), que requer múltiplas provas de identidade, foi encontrada desativada para dispositivos móveis no Azure Purview; Os sistemas de alerta internos estavam desativados; O observador da rede estava inativo; e políticas de acesso condicional, regras que regem o acesso aos recursos, foram alteradas sem aprovação. Ele também observou picos de cobrança relacionados à entrada/saída de armazenamento para recursos que pareciam ter sido excluídos logo após a criação. Berulis observou a instalação de um”contêiner”-um ambiente virtual isolado que pode executar programas sem facilmente revelar suas atividades para a rede host. Ele também documentou, por meio de ferramentas de caça de ameaças, três downloads programáticos de bibliotecas de github externas não usadas pelo NLRB, sugeridas pelo uso de uma bandeira”-noprofile”que inicia comandos com uma configuração limpa. Forçando”-Tecnologia para extração de dados automatizada e adivinhação de senha. Berulis também viu evidências de ferramentas denominadas”solicitações-ip-rotador”e”sem navegação”sendo usadas. href=”https://www.governmentattic.org/57docs/nlrbnxgencmsRapplace2024-2025.pdf”Target=”_ Blank”> nxgen . Os usuários desconhecidos também criaram e excluíram brevemente a Shared Acesso Signature (SAS) Token , uma creditação temporária para armazenamento azulado, sinalização de Azure, para existir. Berulis inicialmente assumiu que algumas anomalias poderiam estar conectadas às equipes de desenvolvimento interno, mas depois validou esse não foi o caso. Essas tentativas direcionaram pelo menos uma conta do Doge recém-criada (`[email protegida]`) e parecia usar o nome de usuário e a senha corretos, apenas falhando devido à política do NLRB bloqueando os logins estrangeiros. Berulis também encontrou outras contas de administração suspeitas com nomes não padrão como”Whitex, Chicago M.”e”Dancehall, Jamaica R.”O ex-oficial cibernético do FBI Russ Handorf disse à NPR: “Quando você se move rápido e quebra coisas, a oportunidade de montar os casaco de acesso autorizado é ridiculamente fácil de alcançar.”Depois que Berulis levantou as descobertas com o NLRB CIO Prem Aburvasamy, formou um grupo de liderança. Por volta de 24 de março, a ACIO of Security concluiu que os eventos justificaram a reportagem ao US-Cert. Dias depois, em 7 de abril, Berulis encontrou uma nota ameaçadora na porta, contendo fotos capturadas em drones dele e referenciando sua divulgação. Seu advogado, Andrew Bakaj, o descreveu como “direcionada, intimidação física e vigilância. Desde o início de 2025, o Doge buscou acesso agressivamente a dados confidenciais em todo o governo, incluindo sistemas de pagamento do Tesouro e Bruce Schneier alertou As ações de Doge correram o risco de se tornar um”cyberattack nacional”. Erie Meyer, a antiga CFPB CTO, disse à NPR que as alegações da NLRB refletiam os padrões que ela viu: demandas de acesso de”trimestres de Deus”, troncos desabilitadores e investigações de parede de pedra.”Estou tremendo”, disse ela ao ouvir os detalhes do NLRB. O ex-conselheiro geral da NLRB, Richard Griffin, disse à NPR:”Nenhuma dessas informações confidenciais e deliberativas deve deixar a agência”. Experts highlighted risks to union organizing, exposure of witness testimony, corporate espionage, and the conflict of interest posed by Musk, whose company SpaceX is Processando o NLRB .”Se eles realmente conseguiram tudo, ele tem informações sobre os casos que o governo está construindo contra ele”, disse Sharon Block, da Harvard Law, à NPR. No entanto, um dia após a quebra da história da NPR, o OPB relatou