Una divulgazione dettagliata degli informatori sostiene che il Dipartimento dell’efficienza governativa del presidente Trump (DOGE), guidato da Elon Musk, sistemi compromessi presso il National Labor Relations Board (NLRB) all’inizio di marzo, rimuovendo i dati sensibili a timore di tossico. L’autorizzazione, ha fornito la divulgazione al Congresso e all’Ufficio degli Stati Uniti consulenti speciali il 14 aprile tramite il non profit Aid Whistleblower .
L’account, corroborato da npr attraverso i record interni e le interviste interne , sostengono gli ingegneri del dotto. impegnati in attività che hanno innescato allarmi. Questi includevano tentativi di accesso sospetti dalla Russia che utilizzano credenziali valide create pochi minuti prima e l’apparente arresto di un’indagine interna, con Berulis che riportava anche intimidazioni dirette. DevSecops è una pratica che integra i test di sicurezza e la protezione continuamente durante lo sviluppo del software e il processo di distribuzione.
La sequenza dettagliata nella dichiarazione giurata di Berulis è iniziata quando il personale DOGE è arrivato alla sede della NLRB nella prima settimana di marzo. Il NLRB indaga pratiche di lavoro sleali e memorizza i dati di sindacalizzazione riservati, i dipendenti PII e le informazioni commerciali proprietarie, protette in base a leggi come Privacy Act
Accesso più alto, nessun registro richiesto
a seguito di Doge ottenendo questo accesso, Berulis ha documentato numerose anomalie tecniche. Intorno alle 3-4 del mattino tra il 4 e il 5 marzo, gli strumenti di monitoraggio hanno registrato un grande picco anomalo del traffico di dati in uscita, stimato a 10 gigabyte, principalmente file di testo, come .
Berulis temeva che questi dati potessero includere”informazioni sensibili sui sindacati, casi legali in corso e segreti aziendali,”potenzialmente includendo”PII di richiedenti e intervistati con le questioni in sospeso prima dell’agenzia, anche molte altre imprese in cui si sono riunite in modo da confidenza. Mancava il traffico in uscita di monitoraggio dei registri e il team di rete in seguito ha riportato l’incapacità”di analizzare il traffico in uscita… a causa di strumenti sbagliati e mancanti”. Alcune azioni sono state attribuite solo a un”account cancellato”.
Berulis ha anche trovato i controlli di sicurezza modificati: Autenticazione a più fattori (MFA), che richiede più prove di identità, è stato trovato disabilitato per i dispositivi mobili in Azure Purview; I sistemi di avviso interni erano spenti; L’osservatore della rete era inattivo; e le politiche di accesso condizionale, le regole che regolano l’accesso alle risorse, sono state modificate senza approvazione. Ha anche notato i picchi di fatturazione relativi all’input/output di archiviazione per le risorse che sembravano essere state eliminate poco dopo la creazione.
Ingegneri DOGE presumibilmente usavano strumenti che facilitano l’attività di copertina. Berulis ha osservato l’installazione di un”contenitore”, un ambiente virtuale isolato che può eseguire programmi senza rivelare facilmente le sue attività alla rete ospitante. Ha anche documentato, tramite strumenti di caccia alle minacce, tre download programmatici di librerie GitHub esterne non utilizzate dalla NLRB, suggerite dall’uso di un flag”-noprofile”che inizia i comandi con una configurazione pulita.
una libreria di blu, collegato da Krebsonsecurity a Doge Elemplee Elez descritto come strumento per generare numerosi indirizzi IP”Per l’estrazione automatizzata dei dati e l’ipotesi di password. Berulis ha anche visto prove di strumenti chiamati”richieste-ip-rotatore”e”browserless”utilizzato.
Inoltre, ha segnalato un repository di github pubblico mantenuto brevemente dall’ingegnere doga Jordan Wick intitolato”NxGenbdoorextract”href=”https://www.governattic.org/57docs/nlrbnxgencmsreplace2024-2025.pdf”target=”_ blank”> nxgen . Gli utenti sconosciuti hanno anche creato brevemente ed eliminati a Signatura di accesso condiviso (SAS) token , una creazione temporanea per l’archiviazione Azure, configurata rapidamente. Berulis initially assumed some anomalies might be connected to internal development teams but later validated this was not the case.
Suspicious Logins and Intimidation
Adding national security concerns, Berulis documented login attempts starting around March 11 from a Russian IP address (83.149.30.186 in Primorskiy Krai, per Krebsonsecurity). Questi tentativi hanno preso di mira almeno un account DOGE di recente creazione (`[e-mail protetto]`) e sembravano utilizzare il nome utente e la password corretti, solo a causa della politica di NLRB che bloccano gli accessi stranieri.
Gli stati di divulgazione si sono verificati molti tentativi che si sono verificati”entro 15 minuti dagli account creati da Doge Engineers”. Berulis ha anche trovato altri account di amministrazione sospettosi con nomi non standard come”Whitesox, Chicago M.”e”Dancehall, Jamaica R.”Russ Handorf, ex funzionario cyber dell’FBI, ha detto a NPR:”Quando ti muovi velocemente e rompi le cose, l’opportunità di cavalcare i falli di accesso autorizzato è ridicolmente facile da raggiungere.”
Gli sforzi interni del informatore per affrontare la situazione hanno incontrato la resistenza. Dopo che Berulis ha sollevato i risultati con NLRB CIO Prem Aburvasamy, si è formato un gruppo di leadership. Intorno al 24 marzo, l’ACIO della sicurezza ha concluso gli eventi garantiti da segnalazioni alla cerimonia USA.
Tuttavia, Berulis afferma che tra il 3-4 aprile, le istruzioni sono arrivate”per far cadere i rapporti e le indagini degli Stati Uniti e siamo stati incaricati di non andare avanti o creare un rapporto ufficiale”. Giorni dopo, il 7 aprile, Berulis ha trovato una nota minacciosa registrata alla sua porta, contenente foto di lui catturati dai droni e facendo riferimento alla sua divulgazione. Il suo avvocato, Andrew Bakaj, lo ha descritto come”Intimidazione fisica e sorveglianza fisica.”
Investigation ha interrotto, emergono preoccupazioni più ampie
L’incidente di NLRB riflette ansie più ampie delle operazioni di Doge. Dall’inizio del 2025, DOGE ha cercato in modo aggressivo l’accesso a dati sensibili in tutto il governo, compresi i sistemi di pagamento del Tesoro e
La prontezza tecnica di Doge e le scelte del personale hanno dovuto affrontare il controllo, tra cui il suo sito Web pubblico insicuro e l’assunzione di individui con background controversi. Expert di sicurezza Bruce Schneier ha avvertito Le azioni di Doge hanno rischiato di diventare un”nazionale di attacco al cybera”. Erie Meyer, l’ex CTO del CFPB, ha dichiarato a NPR che le accuse di NLRB hanno rispecchiato i modelli che ha visto: richieste di accesso”di Dio”, disabilitare i tronchi e indagini sul muro di pietra.”Sto tremando”, ha detto ascoltando i dettagli della NLRB. Gli esperti di diritto del lavoro hanno sottolineato il potenziale danno se i dati NLRB fossero compromessi. L’ex consigliere generale della NLRB Richard Griffin ha dichiarato a NPR:”Nessuna di queste informazioni riservate e deliberative dovrebbe mai lasciare l’agenzia”. Gli esperti hanno messo in evidenza i rischi per l’organizzazione sindacale, l’esposizione della testimonianza dei testimoni, lo spionaggio aziendale e il conflitto di interessi posti da Musk, la cui compagnia .”Se hanno davvero ottenuto tutto, allora ha informazioni sui casi che il governo sta costruendo contro di lui”, ha detto il blocco Sharon di Harvard NPR. Il NLRB inizialmente ha negato l’accesso a DOGE o si è verificata una violazione. Tuttavia, un giorno dopo la rottura della storia di NPR, OPB ha riferito e l’e-mail di un presidente hanno affermato il rispetto delle richieste di DOGE. La Casa Bianca ha mantenuto le azioni di Doge erano trasparenti. Continua la supervisione del Congresso; Il rappresentante Gerald Connolly ha chiesto indagini IG, e in seguito si è unito al rappresentante Lori Trahan nel mettere in discussione il presidente della NLRB sulla potenziale legge sulla privacy e sulle violazioni di Fisma, notando che il Congresso non aveva ricevuto la notifica di violazione di Fisma richiesta. Fisma, Federal Information Security Modernization Act, impone che i principali incidenti di sicurezza al Congresso entro sette giorni. Berulis ha detto a NPR che sentiva un”imperativo morale”di parlare. Conflitti e conseguenze