Herkesin güncelleyebildiği doge.gov web sitesi
(404media.co)- Elon Musk’ın federal hükümeti küçültme çalışmalarının durumunu takip eden doge.gov’un, dışarıdan kişilerin değiştirebildiği bir veritabanından veri çektiği tespit edildi
- Açığı bulan iki kişi, üçüncü taraf yazma işlemlerinin mümkün olduğunu ve girdikleri içeriğin gerçek web sitesinde göründüğünü 404 Media ile paylaştı
- Bir coder, canlı sitede görünen veritabanına en az 2 öğe ekledi; bunlarda .gov sitesini alaya alan ve açık veritabanına dikkat çeken ifadeler yer aldı
- Site, Musk’ın DOGE faaliyetlerini X’teki @DOGE hesabında ve DOGE web sitesinde yayımlayacağını söylemesinin ardından aceleyle yayına alındı; daha sonra gönderi aynası ve federal iş gücü istatistikleri eklendi
- Adının açıklanmasını istemeyen 2 web geliştirme uzmanı, doge.gov’un hükümet sunucuları yerine Cloudflare Pages üzerinde kurulmuş göründüğünü ve çalışan asıl kodun da oraya dağıtıldığını düşünüyor
Dışarıdan kişilerin değiştirebildiği doge.gov veritabanı
- doge.gov, Elon Musk’ın federal hükümeti küçültme faaliyetlerini takip etmek için oluşturulmuş bir web sitesidir
- Açığı bulan iki kişi, bu sitenin herkesin değiştirebildiği bir veritabanından veri çektiğini 404 Media ile paylaştı
- Dışarıdan biri veritabanına öğe yazdığında, bu öğenin canlı web sitesinde göründüğü yapı doğrulandı
Gerçek sitede görünen eklenmiş öğeler
- Bir coder, veritabanına en az 2 öğe ekledi ve bu öğeler gerçek doge.gov sitesinde görünür durumdaydı
- “this is a joke of a .gov site”
- “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
- İki öğe de doge.gov’un workforce sayfasında görünen öğeler olarak ele alındı
Aceleyle genişletilen DOGE web sitesi
- doge.gov, Elon Musk’ın gazetecilere Department of Government Efficiency’nin “mümkün olduğunca şeffaf olmaya çalıştığını” söylemesinin ardından aceleyle yayına alındı
- Musk, DOGE’nin eylemlerini X’teki DOGE kullanıcı adında ve DOGE web sitesinde yayımlayacağını söyledi
- O sırada DOGE web sitesi fiilen boş bir sayfaydı
- Daha sonra çarşamba ve perşembe günleri site daha da geliştirilerek şu işlevler eklendi
- @DOGE X hesabı gönderileri aynası
- ABD federal hükümetinin iş gücüne ilişkin çeşitli istatistikler
Cloudflare Pages tabanlı dağıtıma dair belirtiler
- Adının açıklanmasını istemeyen 2 web geliştirme uzmanı, doge.gov’un Cloudflare Pages sitesi üzerinde kurulmuş göründüğünü düşünüyor
- Federal web sitelerini inceledikleri için anonim kalmayı talep ettiler
- İkili, doge.gov’un şu anda hükümet sunucularında barındırılmıyor gibi göründüğünü söyledi
- Sitenin veri çektiği veritabanına üçüncü taraflar yazabiliyor ve üçüncü tarafların yazdığı içerik hâlihazırda gerçek web sitesinde görünür durumda
- İki kaynak, doge.gov’un verileri, çalışan asıl kodun dağıtıldığı Cloudflare Pages web sitesinden çektiğini doğruladı
1 yorum
Hacker News yorumları
https://archive.ph/wy1Wt
U.S. Digital Service (USDS), DOGE bünyesine alınmadan önce de federal hükümet için statik web siteleri oluşturma ve dağıtma konusunda uzun süredir uzmanlığa sahipti ve tüm süreci açık şekilde yürütüyordu.
Jekyll ile yapılmış usds.gov sitesinin tamamını (2.700 varlık ve belge, 150 MB) birkaç dakika içinde klonlayıp yerelde veya S3 üzerinde yeniden dağıtabilirsiniz; dağıtım talimatlarının hepsi de yazılmış: https://github.com/usds/website
Her gün çeşitli SOP'ler kullanıyorum; ilke şu: Sadece adını hatırlayıp geri kalan her şeyi unutsanız bile belgeyi bulup yeniden öğrenerek neredeyse aynı sonucu alabilmelisiniz. 1950'ler Sovyet belgelerinde de modern SOP'ye benzer şeyler bulabilirsiniz ama katlama SOP'si veya orduda duş SOP'si gibi ABD Donanması belgeleri özellikle pratik.
Dockerfile'da
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.shvar.Hack'in kendisi hakkında konuşmak istiyorum. “Veritabanını açık bırakmışlar”dan daha ayrıntılı açıklama verebilecek biri var mı? Bu konuyu düzgünce görmek için buraya geldim ama henüz göremedim.
https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
SQL injection olabilir ya da kimlik bilgileri frontend'de açığa çıkmış olabilir.
Temelde site Cloudflare'da barındırılıyordu ve gerçek DOGE Twitter akışı değil, sitede kayıtlı olan içeriğe sahte tweet'ler eklenebiliyormuş gibi görünüyor. Gerçek verilerin sızdığı yok gibi.
İronik biçimde WHOIS kayıtları CISA'yı, yani Cybersecurity and Infrastructure Security Agency'yi işaret ediyor. Epey güven verici.
Tasarruf dökümü sitesi, Sevgililer Günü'ne kadar makbuzları göstereceğini söylemişti.
https://www.doge.gov/savings
Şimdi “Makbuzlar hafta sonu yayımlanacak!” yazıyor. Sırada herhalde “site makbuzlar için hazır” diyecekler.
Pek çok kesinti ilk bakışta “mantıklı” görünüyor ama “dergi aboneliği kesintisi”nin aslında “Consumer Financial Protection Bureau'da finans haber kaynaklarının kesilmesi” ya da “gündemi gerçekten anlaması gereken kişilerin güvenilir haber aboneliklerinin yenilenmemesi” olduğunu öğrenince durum değişiyor.
DEI/çeşitlilik eğitimlerinde de çok kesinti var ve bu, “insanlara gerçekten nazik davranma”ya karşı bir savaştan çok, o eğitimin çalışanların daha iyi hizmet vermesine yardımcı olduğu grupları hedef alıyor gibi hissettiriyor. SNAP'te DEI'yi azalttığınızı düşünün; USDA verisi olduğu söylenen materyale göre SNAP'e kayıtlı 5 etnik grup ve “ırkı bilinmeyen” kişiler var. Bu tür desteğe ihtiyaç duyan farklı etnik geçmişlerden insanları anlamayı, onlarla etkileşim kurmayı ve onlara yardım etmeyi nasıl öğreteceğinizi hayal edin.
Empati ve anlayış bu tür rollerde çok iyi beceriler ve DEI'nin ilgili herkese bu eğitimi sağladığını düşünüyorum. Sağ kanadın genel kanısı DEI'nin ırkçı olduğu ve beyazlara karşı olduğu yönünde, ancak beyaz olmayanların da bu eğitime ihtiyaç duyabileceği fikri eksik. DEI farkları anlamaktır; sağ kanat bunu “beyaz olmayanları anlamak” diye okuyor ve başka kültürleri düşünmek zorunda kalma fikrinin kendisinden rahatsız oluyor gibi.
Bir başka kesinti de toplumsal cinsiyet eğitimi bütçesiydi ve bu eğitim teknoloji ve mühendislikle ilgili ofisler içindi. Bu alanlar uzun süredir erkek egemen olmakla kötü nam salmış olduğundan, böyle bir eğitimin faydalı olduğunu anlamak mümkün. Teknoloji sektöründe insanların kadınlara ve kuirlere nasıl konuştuğunu ve davrandığını duyduğum için eğitime ihtiyaç olduğunu düşünüyorum.
Bu programlar insanlara ne düşüneceklerini aşılamaya çalışmıyor. Dünyayla empatik biçimde etkileşim kuramayan biriyseniz, işyeri eğitimi bunu değiştirmez. Ama profesyonel ortamlarda nasıl etkileşim kurulacağını ve üretken çalışılacağını öğretebilir. Şirketlerde amaç daha çok para kazanmak, devlette ise daha çok insana yardım etmektir. Buna hem çalışanlar hem de hizmet alan topluluklar dahil.
Sonuçta Trump söylediğini yapıyor ve ayrıntılar iç karartıcı.
Hızlı hareket et ve bir şeyleri boz, hükümet versiyonu
DOGE, Twitter’dan bile daha çok “Vox Populi, Vox Dei”ye uyuyor gibi
Böyle dostların varsa düşmana ne gerek var?
Belki de şu çocukları kovup yerlerine gerçek mühendisler koymak gerek
O çocukların bazıları Hacker News okuyordur; onlara tavsiyem: ChatGPT’yi bir kenara bırakın ve ne yaptığınızı düzgünce öğrenin
Hatta özgüvenleri ve ahlaki değerleri bile olabilir; bu da tamamen elenme sebebi olur herhalde
Burada gerçekten neler olduğunu görmüyor musunuz? Bir “hükümet kurumuna” adını bir memecoin’den vermek ve Oval Ofis’te şapka takmış halde, fiilen orada oturan başkanın sözünü kesmek yani
Elon, ülkemizin kurumlarına saygı duymadığı sinyalini vermeye çalışıyor. Trump neden Mexico’nun adını değiştirmek gibi önemsiz bir şeyle uğraşsın ki? Bu, en saçma güç gösterisine kimlerin uyacağını görmek için bir turnusol testi. Bugün AP’nin bu konuda diz çökmediği için Oval Ofis’e ve AF1’e erişiminin engellenmesiyle bu uygulamaya kondu. Bu, Elon’ın sadece başıboş davranmasından çok daha karanlık bir şey
Belki de sadece ilk kule henüz çökmedi; ateş topu kayboldu ve itfaiyeciler merdivenlerden yukarı çıktığı için yakında kurtarılacağımızı düşünüyor olabilirsiniz. Ama yüzeyin altında yangın bembeyaz yanıyor; çelik her dakika daha da ısınıyor ve daha da yumuşuyor
Geçmiş yönetimlerin yaptığı çok küçük değişikliklerin devasa, beklenmedik sonuçlar doğurduğu örnekleri uzakta aramaya gerek yok. Tamamen pişiyoruz
Korumacı ticaret politikaları uygulayacak, vergi reformundan önce harcama kesintilerini dayatıp “işte böyle tasarruf ettik” diye gösterecek, sonra piyasaların yükselmesini bekleyerek yüz milyarlarca dolarlık portföyünü tasfiye edip bir adaya emekli olmaya çalışacak
En azından teori bu. Amerika, CCP’nin ABD’nin sanayi kapasitesini avucunun içinde tuttuğunu ve merkezi planlamayla ABD elektrikli araç pazarını ya da donanma tonajını istediği gibi geriye itebildiğini kabul etmek istemiyor gibi. Deregülasyonun nihayet Amerika’nın sorunlarına her derde deva olacağı varsayımı var; ama bunu dünya ticaret politikasıyla tutarlı biçimde sürdüremezsiniz. ICC’ye yaptırım uygularken başka ülkelerden suçluları ABD’ye iade etmelerini isteyemezsiniz; Human Rights Council’ı terk ederken başka ülkelerden ahlaki otoritemize saygı duymalarını da bekleyemezsiniz
Önümüzdeki 4 yıl, medeni dünyanın Amerika olmadan da yapabileceğini yeniden kanıtlayacağı bir dönem olacak. Trump yabancı diktatörlere yağ çekecek, geri kalanlar ise bir sonraki ön seçimi bekleyip duracak. 2016 tarzı durgunluk en iyi senaryo; teselli ise Amerika’nın başlıca düşmanlarının da şu sıralar epey zor durumda olması. Trump, Nixon ya da Reagan dönemindeki konumda oturuyor olsaydı Amerika için oyun bitmişti