Szczegółowe ujawnienie informacyjno-informacyjne twierdzi, że Departament Rządu Prezydenta Trumpa (DOGE), kierowany przez Elona Muska, zagrożony systemami w National Pracy Relations Board (NLRB) na początku marca, usuwając poufne dane, próbując zaciemnić swoje działania.
Daniel Berulis, doświadczony architekt devSecops w NLRB, zawierając najwyższą sekret/wrażliwe informacje (TS/SCI. Zezwolenie, przekazane kongresowi i amerykańskiemu biurze specjalnego doradcy 14 kwietnia za pośrednictwem organizacji non-profit npr poprzez rejestry wewnętrzne i wywiady , twierdzi, że inżynierowie Doge wymagają dostępu do systemu top-level, a nie podążają za standardowymi logami. Następnie zaangażował się w działania, które wywołały alarmy. Obejmowały one podejrzane próby logowania z Rosji z wykorzystaniem ważnych poświadczeń utworzonych minut wcześniej oraz pozorne zamknięcie wewnętrznego dochodzenia, a Berulis zgłaszał również bezpośrednie zastraszanie. DevSecops to praktyka, która ciągle integruje testy bezpieczeństwa i ochronę w procesie rozwoju i wdrażania oprogramowania.
Sekwencja szczegółowo opisana w oświadczeniu zaprzysiężonej Berulis, gdy personel Doge przybył do siedziby NLRB w pierwszym tygodniu marca. NLRB bada nieuczciwe praktyki pracy i przechowuje poufne dane związkowe, pracowników PII i zastrzeżone informacje biznesowe, chronione na podstawie przepisów takich jak
Po uzyskaniu tego dostępu, Berulis udokumentował wiele anomalii technicznych. Około 3-4 rano EST Między 4 a 5 marca, narzędzia monitorujące zarejestrowały duży, anomalny wzrost ruchu danych wychodzących, oszacowane na 10 gigabajtach, przede wszystkim plikach tekstowych, jako . Berulis martwi się, że dane mogą obejmować „poufne informacje o zawodach, trwające sprawy prawne i tajemnice korporacyjne”, potencjalnie obejmujące „PII ubiegających się i respondentów, które nie są publiczne, ale także wiele innych firm poufnych procesów wewnętrznych i informacji zebranych lub przekazywanych informacjami zgromadzonymi lub udzielonymi informacjami. W miarę braku ruchu wychodzącego logów, a zespół sieciowy później zgłosił niezdolność „do analizy ruchu wychodzącego… z powodu błędnych skonfigurowanych lub brakujących narzędzi”. Niektóre działania zostały przypisane tylko „usuniętym konto”. “ Berulis również znalazł zmiany kontroli bezpieczeństwa: uwierzytelnianie wieloskładnikowe (MFA), które wymagają wielu dowodów tożsamości, znaleziono wyłączone dla urządzeń mobilnych w Azure Purview; Wewnętrzne systemy ostrzegawcze były wyłączone; Obserwator sieci był nieaktywny; oraz zasady dostępu warunkowego, zasady rządzące dostępem zasobów zostały zmienione bez zatwierdzenia. Zauważył również, że skoki rozliczeniowe związane z wejściem/wyjściem do przechowywania zasobów, które wydawały się usunąć wkrótce po utworzeniu. Inżynierowie DOGE rzekomo używali narzędzi ułatwiających tajną aktywność. Berulis zaobserwował instalację „kontenera”-izolowane wirtualne środowisko, które może uruchamiać programy bez łatwego ujawnienia swoich działań w sieci hosta. Udokumentował również, za pomocą narzędzi do polowania na zagrożenia, trzy programowe pobierania zewnętrznych bibliotek github nie używanych przez NLRB, sugerowane przez użycie flagi „-noprofile”, która rozpoczyna polecenia z czystą konfiguracją. Jedna biblioteka, połączona przez Krebssecurity z psem elmee elez opisującym jako narzędzie do generowania wielu adresów ipaperatów i nękania “-TECTECECECESURE z Bieskursem do piesce emete margo eleza opisanego jako narzędzia do wielu adresów. do zautomatyzowanego ekstrakcji danych i zgadywania hasła. Berulis widział także dowody na narzędzia o nazwie „prośby-IP-Rotator” i „bez przeglądarki”. Dodatkowo oznaczył publiczne repozytorium GitHub na krótko utrzymywane przez inżynier Doge Jordan Wick zatytułowany „Nxgenbdoorextract”, sugerując potencjalne narzędzie do wyodrębnienia danych z wewnętrznego systemu zarządzania przypadkami NLRB, nxgen . Nieznani użytkownicy również krótko utworzyli i usunęli a udostępniony podpis dostępu (SAS) TEKEN , tymczasowe kwalifikacje dla Azure Storage, skonfigurowane do szybkiego wygaśnięcia. Berulis początkowo zakładał, że niektóre anomalie mogą być powiązane z wewnętrznymi zespołami programistów, ale później zatwierdzono, że tak nie było. Dodając obawy dotyczące bezpieczeństwa narodowego, Berulis udokumentował próby logowania, począwszy od 11 marca od 11 marca od Rosji adresu IP (83,149,30.186 w Primorskiy Kra, Per, Per, Per, Per, Krebssececurity). Próby te ukierunkowały co najmniej jedno nowo utworzone konto DOGE (`[[chronione e-mailem]`) i wydawały się korzystać z prawidłowej nazwy użytkownika i hasła, tylko z powodu zasad blokujących zagraniczne loginy. Stany z ujawniania wielu prób nastąpiło „w ciągu 15 minut od konta utworzonych przez inżynierów. Berulis znalazł także inne podejrzane konta administratora o niestandardowych nazwach, takich jak „Whitesox, Chicago M.” oraz „Dancehall, Jamaica R.” Były urzędnik FBI Cyber, Russ Handorf, powiedział NPR: „Kiedy poruszasz się szybko i łamiesz rzeczy, możliwość jazdy na koatailach autoryzowanego dostępu jest absurdalnie łatwa do osiągnięcia.” Wewnętrzne wysiłki informatora o rozwiązanie tej sytuacji spełniały opór. Po tym, jak Berulis podniósł ustalenia z NLRB CIO Prem Aburvasamy, powstała grupa przywódcza. Około 24 marca ACIO bezpieczeństwa stwierdził, że zdarzenia uzasadniały raportowanie do US-Cert. Jednak Berulis twierdzi, że w latach 3-4 kwietnia pojawiły się instrukcje „porzucić raportowanie i dochodzenie w sprawie amerykańskiej, a nie udało nam się przejść do przodu ani nie tworzyć oficjalnego raportu”. Kilka dni później, 7 kwietnia, Berulis znalazł groźną notatkę przyklejoną do jego drzwi, zawierającą jego zdjęcia z jego dronem i odnoszące się do jego ujawnienia. Jego adwokat, Andrew Bakaj, opisał to jako „ukierunkowane, zastraszanie fizyczne i nadzór.” Incydent NLRB odzwierciedla szersze obawy dotyczące działań Doge. Od początku 2025 r. Doge agresywnie szukał dostępu do wrażliwych danych w całym rządzie, w tym systemów płatności skarbowych i
Własna techniczna gotowość i wybór personelu, w tym kontrolę, w tym niepewną publiczną stronę internetową i zatrudnienie osób z kontrowersyjnym pochodzeniem. Ekspert ds. Bezpieczeństwa ostrzega Bruce Schneier Działania Doge zaryzykowały „Doge. Erie Meyer, były CFPB CTO, powiedziała NPR zarzuty NLRB odzwierciedlające wzorce, które widziała: „Boskie poziomy”, wymagania dostępu, wyłączanie kłód i dochodzenia w Stonewalling. „Drżę”, powiedziała po wysłuchaniu szczegółów NLRB. Eksperci prawa pracy podkreślili potencjalne szkody, jeśli dane NLRB zostały naruszone. Były doradca generalny NLRB Richard Griffin powiedział NPR: „Żadna z tych poufnych i celowych informacji nie powinna nigdy opuścić agencji”. Eksperci podkreślili ryzyko organizacji związkowej, ekspozycji zeznań świadków, szpiegostwa korporacyjnego i konfliktu interesów stanowiących przez Musk, którego firma . „Jeśli naprawdę wszystko dostali, to ma informacje o sprawach, które rząd buduje przeciwko niemu”-powiedział NPR. NLRB początkowo odmówił dostępu do Doge lub naruszenia. Jednak jeden dzień po zerwaniu historii NPR, OPB zgłosił , a e-mail przewodniczącego potwierdził zgodność z prośbami Doge. Biały Dom utrzymywał działania Doge były przezroczyste. Nadzór kongresowy trwa; Rep. Gerald Connolly wezwał do badań IG, a później dołączył do przedstawiciela Lori Trahan, kwestionując przewodniczącego NLRB o potencjalną ustawę o prywatności i naruszeniach FISMA, zauważając, że Kongres nie otrzymał wymaganego powiadomienia o naruszeniu Fisma. Fisma, Federalna Ustawa o modernizacji bezpieczeństwa informacji, nakazuje zgłaszanie głównych incydentów bezpieczeństwa Kongresowi w ciągu siedmiu dni. Berulis powiedział NPR, że odczuwa „moralny imperatyw”, aby zabrać głos. Najwyższy dostęp, żaden dzienniki żądane
Podejrzane logowanie i zastraszanie
Dochodzenie powstrzymało się, pojawiły się szersze obawy
Konflikty i konsekwencje