3 puan yazan GN⁺ 2025-02-15 | 1 yorum | WhatsApp'ta paylaş
  • Elon Musk’ın federal hükümeti küçültme çalışmalarının durumunu takip eden doge.gov’un, dışarıdan kişilerin değiştirebildiği bir veritabanından veri çektiği tespit edildi
  • Açığı bulan iki kişi, üçüncü taraf yazma işlemlerinin mümkün olduğunu ve girdikleri içeriğin gerçek web sitesinde göründüğünü 404 Media ile paylaştı
  • Bir coder, canlı sitede görünen veritabanına en az 2 öğe ekledi; bunlarda .gov sitesini alaya alan ve açık veritabanına dikkat çeken ifadeler yer aldı
  • Site, Musk’ın DOGE faaliyetlerini X’teki @DOGE hesabında ve DOGE web sitesinde yayımlayacağını söylemesinin ardından aceleyle yayına alındı; daha sonra gönderi aynası ve federal iş gücü istatistikleri eklendi
  • Adının açıklanmasını istemeyen 2 web geliştirme uzmanı, doge.gov’un hükümet sunucuları yerine Cloudflare Pages üzerinde kurulmuş göründüğünü ve çalışan asıl kodun da oraya dağıtıldığını düşünüyor

Dışarıdan kişilerin değiştirebildiği doge.gov veritabanı

  • doge.gov, Elon Musk’ın federal hükümeti küçültme faaliyetlerini takip etmek için oluşturulmuş bir web sitesidir
  • Açığı bulan iki kişi, bu sitenin herkesin değiştirebildiği bir veritabanından veri çektiğini 404 Media ile paylaştı
  • Dışarıdan biri veritabanına öğe yazdığında, bu öğenin canlı web sitesinde göründüğü yapı doğrulandı

Gerçek sitede görünen eklenmiş öğeler

  • Bir coder, veritabanına en az 2 öğe ekledi ve bu öğeler gerçek doge.gov sitesinde görünür durumdaydı
    • “this is a joke of a .gov site”
    • “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
  • İki öğe de doge.gov’un workforce sayfasında görünen öğeler olarak ele alındı

Aceleyle genişletilen DOGE web sitesi

  • doge.gov, Elon Musk’ın gazetecilere Department of Government Efficiency’nin “mümkün olduğunca şeffaf olmaya çalıştığını” söylemesinin ardından aceleyle yayına alındı
  • Musk, DOGE’nin eylemlerini X’teki DOGE kullanıcı adında ve DOGE web sitesinde yayımlayacağını söyledi
  • O sırada DOGE web sitesi fiilen boş bir sayfaydı
  • Daha sonra çarşamba ve perşembe günleri site daha da geliştirilerek şu işlevler eklendi
    • @DOGE X hesabı gönderileri aynası
    • ABD federal hükümetinin iş gücüne ilişkin çeşitli istatistikler

Cloudflare Pages tabanlı dağıtıma dair belirtiler

  • Adının açıklanmasını istemeyen 2 web geliştirme uzmanı, doge.gov’un Cloudflare Pages sitesi üzerinde kurulmuş göründüğünü düşünüyor
  • Federal web sitelerini inceledikleri için anonim kalmayı talep ettiler
  • İkili, doge.gov’un şu anda hükümet sunucularında barındırılmıyor gibi göründüğünü söyledi
  • Sitenin veri çektiği veritabanına üçüncü taraflar yazabiliyor ve üçüncü tarafların yazdığı içerik hâlihazırda gerçek web sitesinde görünür durumda
  • İki kaynak, doge.gov’un verileri, çalışan asıl kodun dağıtıldığı Cloudflare Pages web sitesinden çektiğini doğruladı

1 yorum

 
GN⁺ 2025-02-15
Hacker News yorumları
  • https://archive.ph/wy1Wt

  • U.S. Digital Service (USDS), DOGE bünyesine alınmadan önce de federal hükümet için statik web siteleri oluşturma ve dağıtma konusunda uzun süredir uzmanlığa sahipti ve tüm süreci açık şekilde yürütüyordu.
    Jekyll ile yapılmış usds.gov sitesinin tamamını (2.700 varlık ve belge, 150 MB) birkaç dakika içinde klonlayıp yerelde veya S3 üzerinde yeniden dağıtabilirsiniz; dağıtım talimatlarının hepsi de yazılmış: https://github.com/usds/website

    • USDS'yi eskiden Hacker News'te öğrenmiştim ve her zaman etkileyici bulmuştum. Birisi iyi niyetle “DOGE” yapmak isteseydi, yani hükümeti yıkmak değil verimliliğini artırmak isteseydi, sanırım bu USDS gibi bir kuruluşun yetkilerini ve kapsamını büyütmeye benzerdi.
    • Statik içerik için standart işletim prosedürü (SOP) olması oldukça iyi hissettiriyor.
      Her gün çeşitli SOP'ler kullanıyorum; ilke şu: Sadece adını hatırlayıp geri kalan her şeyi unutsanız bile belgeyi bulup yeniden öğrenerek neredeyse aynı sonucu alabilmelisiniz. 1950'ler Sovyet belgelerinde de modern SOP'ye benzer şeyler bulabilirsiniz ama katlama SOP'si veya orduda duş SOP'si gibi ABD Donanması belgeleri özellikle pratik.
    • Ulus-devlet saldırganlarının hedefi olan federal hükümet siteleri dağıtılırken, açık web'den shell script olduğu gibi mi çalıştırılıyor?
      Dockerfile'da curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.sh var.
    • Son değişiklikleri görebiliyorum ama arşivleme için önceki zaman damgalarının da kontrol edilip edilemeyeceğini merak ediyorum.
  • Hack'in kendisi hakkında konuşmak istiyorum. “Veritabanını açık bırakmışlar”dan daha ayrıntılı açıklama verebilecek biri var mı? Bu konuyu düzgünce görmek için buraya geldim ama henüz göremedim.

    • Birisi JavaScript'i minify edilmemiş hâle getirmiş ve içindeki çeşitli REST endpoint'lerinin site için doğrulamasız CRUD endpoint'leri olduğu ortaya çıkmış.
      https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
    • Kaynağıma göre değiştirilebilir, güvenliği olmayan API endpoint'leri varmış.
    • “Sitenin okuduğu veritabanına üçüncü taraflar yazabiliyordu ve bu içerik canlı web sitesinde gösteriliyordu” demek için bile bilgiler yetersiz.
      SQL injection olabilir ya da kimlik bilgileri frontend'de açığa çıkmış olabilir.
    • SQL injection'a bir oy.
    • Makale ücret duvarının arkasında ama aslında sitede gösterilen Twitter akışıyla sınırlı bir şeymiş gibi geliyor.
      Temelde site Cloudflare'da barındırılıyordu ve gerçek DOGE Twitter akışı değil, sitede kayıtlı olan içeriğe sahte tweet'ler eklenebiliyormuş gibi görünüyor. Gerçek verilerin sızdığı yok gibi.
  • İronik biçimde WHOIS kayıtları CISA'yı, yani Cybersecurity and Infrastructure Security Agency'yi işaret ediyor. Epey güven verici.

  • Tasarruf dökümü sitesi, Sevgililer Günü'ne kadar makbuzları göstereceğini söylemişti.
    https://www.doge.gov/savings
    Şimdi “Makbuzlar hafta sonu yayımlanacak!” yazıyor. Sırada herhalde “site makbuzlar için hazır” diyecekler.

    • Musk'ın FSD gibi diğer vaatlerinden bahsediyor gibisin?
    • Bazı verileri yüklemeye başlamışlar gibi. FPDS'nin ne olduğunu bilmiyorum ama belgelerin hepsi OSX Aqua temasıyla işlenmiş gibi görünüyor.
      Pek çok kesinti ilk bakışta “mantıklı” görünüyor ama “dergi aboneliği kesintisi”nin aslında “Consumer Financial Protection Bureau'da finans haber kaynaklarının kesilmesi” ya da “gündemi gerçekten anlaması gereken kişilerin güvenilir haber aboneliklerinin yenilenmemesi” olduğunu öğrenince durum değişiyor.
      DEI/çeşitlilik eğitimlerinde de çok kesinti var ve bu, “insanlara gerçekten nazik davranma”ya karşı bir savaştan çok, o eğitimin çalışanların daha iyi hizmet vermesine yardımcı olduğu grupları hedef alıyor gibi hissettiriyor. SNAP'te DEI'yi azalttığınızı düşünün; USDA verisi olduğu söylenen materyale göre SNAP'e kayıtlı 5 etnik grup ve “ırkı bilinmeyen” kişiler var. Bu tür desteğe ihtiyaç duyan farklı etnik geçmişlerden insanları anlamayı, onlarla etkileşim kurmayı ve onlara yardım etmeyi nasıl öğreteceğinizi hayal edin.
      Empati ve anlayış bu tür rollerde çok iyi beceriler ve DEI'nin ilgili herkese bu eğitimi sağladığını düşünüyorum. Sağ kanadın genel kanısı DEI'nin ırkçı olduğu ve beyazlara karşı olduğu yönünde, ancak beyaz olmayanların da bu eğitime ihtiyaç duyabileceği fikri eksik. DEI farkları anlamaktır; sağ kanat bunu “beyaz olmayanları anlamak” diye okuyor ve başka kültürleri düşünmek zorunda kalma fikrinin kendisinden rahatsız oluyor gibi.
      Bir başka kesinti de toplumsal cinsiyet eğitimi bütçesiydi ve bu eğitim teknoloji ve mühendislikle ilgili ofisler içindi. Bu alanlar uzun süredir erkek egemen olmakla kötü nam salmış olduğundan, böyle bir eğitimin faydalı olduğunu anlamak mümkün. Teknoloji sektöründe insanların kadınlara ve kuirlere nasıl konuştuğunu ve davrandığını duyduğum için eğitime ihtiyaç olduğunu düşünüyorum.
      Bu programlar insanlara ne düşüneceklerini aşılamaya çalışmıyor. Dünyayla empatik biçimde etkileşim kuramayan biriyseniz, işyeri eğitimi bunu değiştirmez. Ama profesyonel ortamlarda nasıl etkileşim kurulacağını ve üretken çalışılacağını öğretebilir. Şirketlerde amaç daha çok para kazanmak, devlette ise daha çok insana yardım etmektir. Buna hem çalışanlar hem de hizmet alan topluluklar dahil.
      Sonuçta Trump söylediğini yapıyor ve ayrıntılar iç karartıcı.
  • Hızlı hareket et ve bir şeyleri boz, hükümet versiyonu

  • DOGE, Twitter’dan bile daha çok “Vox Populi, Vox Dei”ye uyuyor gibi

  • Böyle dostların varsa düşmana ne gerek var?

  • Belki de şu çocukları kovup yerlerine gerçek mühendisler koymak gerek
    O çocukların bazıları Hacker News okuyordur; onlara tavsiyem: ChatGPT’yi bir kenara bırakın ve ne yaptığınızı düzgünce öğrenin

    • Gerçek mühendisler makul bir ücret ve çalışma saatleri ister; patronlarını yaşayan bir tanrı sanmazlar
      Hatta özgüvenleri ve ahlaki değerleri bile olabilir; bu da tamamen elenme sebebi olur herhalde
    • Hepsinin çok genç olması, benim neden mülakata bile giremediğimi açıklıyor. 28 yaşında orada işe girmek için çoktan fazla yaşlıymışım
    • Bunlar dürüst profesyoneller değil, ideologlar
    • Gereken kişinin üç şartı karşılaması lazım: deneyimli iyi bir mühendis olmak, etik sahibi olmamak ve etik sahibi olmayan deneyimli iyi bir mühendisin piyasa değerinden daha düşük ücrete razı olmak
  • Burada gerçekten neler olduğunu görmüyor musunuz? Bir “hükümet kurumuna” adını bir memecoin’den vermek ve Oval Ofis’te şapka takmış halde, fiilen orada oturan başkanın sözünü kesmek yani
    Elon, ülkemizin kurumlarına saygı duymadığı sinyalini vermeye çalışıyor. Trump neden Mexico’nun adını değiştirmek gibi önemsiz bir şeyle uğraşsın ki? Bu, en saçma güç gösterisine kimlerin uyacağını görmek için bir turnusol testi. Bugün AP’nin bu konuda diz çökmediği için Oval Ofis’e ve AF1’e erişiminin engellenmesiyle bu uygulamaya kondu. Bu, Elon’ın sadece başıboş davranmasından çok daha karanlık bir şey

    • Doğru. Bu, neo-Nazilerin faşist darbesi
    • Bu, 11 Eylül’den çok, çok daha kötü
      Belki de sadece ilk kule henüz çökmedi; ateş topu kayboldu ve itfaiyeciler merdivenlerden yukarı çıktığı için yakında kurtarılacağımızı düşünüyor olabilirsiniz. Ama yüzeyin altında yangın bembeyaz yanıyor; çelik her dakika daha da ısınıyor ve daha da yumuşuyor
      Geçmiş yönetimlerin yaptığı çok küçük değişikliklerin devasa, beklenmedik sonuçlar doğurduğu örnekleri uzakta aramaya gerek yok. Tamamen pişiyoruz
    • Aynen öyle. Saçma sapan bir şey uydurup ona resmî diyorlar; uymazsan da yalan yayıyorsun diye yasaklıyorlar. Diktatörlük 101
    • Amerika’nın girişimcilik ruhu zulüm görme paranoyasını besledi ve intikam istiyor
      Korumacı ticaret politikaları uygulayacak, vergi reformundan önce harcama kesintilerini dayatıp “işte böyle tasarruf ettik” diye gösterecek, sonra piyasaların yükselmesini bekleyerek yüz milyarlarca dolarlık portföyünü tasfiye edip bir adaya emekli olmaya çalışacak
      En azından teori bu. Amerika, CCP’nin ABD’nin sanayi kapasitesini avucunun içinde tuttuğunu ve merkezi planlamayla ABD elektrikli araç pazarını ya da donanma tonajını istediği gibi geriye itebildiğini kabul etmek istemiyor gibi. Deregülasyonun nihayet Amerika’nın sorunlarına her derde deva olacağı varsayımı var; ama bunu dünya ticaret politikasıyla tutarlı biçimde sürdüremezsiniz. ICC’ye yaptırım uygularken başka ülkelerden suçluları ABD’ye iade etmelerini isteyemezsiniz; Human Rights Council’ı terk ederken başka ülkelerden ahlaki otoritemize saygı duymalarını da bekleyemezsiniz
      Önümüzdeki 4 yıl, medeni dünyanın Amerika olmadan da yapabileceğini yeniden kanıtlayacağı bir dönem olacak. Trump yabancı diktatörlere yağ çekecek, geri kalanlar ise bir sonraki ön seçimi bekleyip duracak. 2016 tarzı durgunluk en iyi senaryo; teselli ise Amerika’nın başlıca düşmanlarının da şu sıralar epey zor durumda olması. Trump, Nixon ya da Reagan dönemindeki konumda oturuyor olsaydı Amerika için oyun bitmişti