DOGE mühendisinin kodu, NLRB muhbirinin iddialarını doğruluyor

 (krebsonsecurity.com)
2 puan yazan GN⁺ 2025-04-24 | 1 yorum | WhatsApp'ta paylaş
  • NLRB muhbiri, Elon Musk’a bağlı DOGE biriminin hassas iş uyuşmazlığı verilerinden 10 GB’tan fazlasını izinsiz indirdiğini iddia ediyor
  • DOGE hesabı, yönetici yetkileriyle log izlemeden kaçtı ve harici GitHub’dan üç kod indirdi; bunlardan biri web scraping ve kaba kuvvet saldırılarında kullanılan IP döndürme tekniğini içeriyordu
  • Kilit çalışan Marko Elez, bu tekniğin en güncel sürümünü GitHub’a yükledi; geçmişte bilgi güvenliği kurallarını ihlal etmesi ve tartışmalı açıklamalarıyla gündeme gelmiş bir isim
  • İndirilen diğer kodlar arasında API tersine mühendislik aracı Integuru ve otomasyon tarayıcısı Browserless yer alıyor
  • Elez’in kod kalitesi GitHub’da sert biçimde eleştirildi ve ilgili depo daha sonra silindi

DOGE hesabının hassas bilgilere erişimi

  • Muhbir Daniel J. Berulis, DOGE çalışanlarının 3 Mart’ta NLRB’den en yüksek yetkili yönetici hesabı (tenant admin) oluşturulmasını talep ettiğini iddia ediyor
  • Bu hesaplar tüm ağ log izlemelerinin dışında tutuldu ve verileri okuma/kopyalama/değiştirme ile logları manipüle etme imkânı sağladı
  • Berulis ile yöneticisinde bu yetkiler yokken, DOGE bunları elde etti

GitHub kod indirmeleri ve IP döndürme aracı

  • DOGE hesabı üç harici GitHub deposu indirdi; bunlardan biri “pseudo-infinite IPs” üreten bir kütüphaneydi
  • Bu kütüphane web scraping ve kaba kuvvetle giriş denemeleri için kullanılıyor
  • Bu kod, GitHub kullanıcısı Ge0rg3 tarafından oluşturulan requests-ip-rotatordan türetildi; Marko Elez ise bunu temel alarak async-ip-rotator’u 2025 Ocak ayında geliştirdi

Marko Elez ve tartışmaları

  • Marko Elez, Musk’ın X, SpaceX, xAI gibi birçok şirketinde çalıştı; şu anda ise Çalışma Bakanlığı bünyesinde çeşitli devlet kurumlarına görevlendiriliyor
  • Geçmişte Hazine Bakanlığı’ndaki görevi sırasında hassas bilgi sızıntısı nedeniyle tartışma yarattı; ırkçı ifadeler tartışmasının ardından işten çıkarılıp sonra yeniden göreve alındı
  • Politico, Elez’in geçmişte birinci seviye güvenlik politikalarını ihlal ettiğini bildirdi

Ek indirilen kodlar ve güvenlik tartışması

  • Ek olarak indirilen GitHub depoları şunlardı:
    • Integuru: Web sitelerinin API’lerini tersine mühendislikle inceleyen bir framework
    • Browserless: Tarayıcı havuzları kullanan bir web otomasyon aracı
  • GitHub kullanıcıları async-ip-rotator’un güvenliği ve ölçeklenebilirliği konusunda ciddi sorunlar dile getirdi
    • “Bu kod üretim seviyesinde bir sistemde kullanılıyorsa derhal güvenlik denetiminden geçmeli” değerlendirmesi yapıldı

NLRB’nin işlevsizleşmesi ve siyasi arka plan

  • Başkan Trump, NLRB’nin üç üyesini görevden alarak kurumun işlevini fiilen felç etti
  • Şu anda Amazon ve SpaceX, NLRB’nin anayasaya aykırı olduğunu savunarak dava yürütüyor; ancak 5 Mart’ta temyiz mahkemesi bunu reddetti
  • Berulis, bu veri sızıntısının belirli şirketlere iş uyuşmazlıklarında haksız avantaj sağlayabileceği uyarısında bulunuyor
    • “Sendika örgütleyicileri tespit edilip ardından işten çıkarılabilir”

İlgili okumalar

1 yorum

 
GN⁺ 2025-04-24
Hacker News görüşleri

  • Ge0rg3'ün kodu "open source" ve herkes tarafından ticari olmayan amaçlarla kopyalanıp yeniden kullanılabiliyor

    • Bu koddan türetilen yeni bir sürüm olan "async-ip-rotator", 2025 Ocak'ta DOGE'den Marko Elez tarafından GitHub'a commit edildi
    • Orijinal kodla neredeyse aynı, ancak yorumlar kaldırılmış, biraz async eklenmiş ve ufak değişiklikler yapılmış
    • Ancak orijinal GPL3 lisansı ortadan kaldırılmış
    • DOGE ekibinin bunu anlayacağını ya da buna saygı göstereceğini beklemek zor

  • İhbarcı Daniel J. Berulis'in şikayetine göre, 11 Mart 2025 civarında NxGen metrikleri anormal kullanım gösterdi

    • DOGE'nin NLRB sistemlerine erişmesinin ardından, Rusya'nın Primorskiy Krai bölgesinden IP adresine sahip bir kullanıcı giriş denemeleri yapmaya başladı
    • Bu denemeler engellendi, ancak özellikle alarm vericiydi
    • Giriş denemeleri, DOGE ile ilişkili faaliyetlerde kullanılan yeni oluşturulmuş hesaplardan biriyle yapıldı ve kimlik doğrulama akışının engellenme nedeni ülke dışı giriş politikasıydı
    • Bu tür giriş denemeleri 20'den fazla kez gerçekleşti ve özellikle endişe verici olan, birçok denemenin hesabın DOGE mühendisi tarafından oluşturulmasından sonraki 15 dakika içinde yapılmış olmasıydı

  • DOGE çalışanları erişmemeleri gereken verilere erişti

    • DOGE'nin çok geniş yetkilere sahip bir hesaba erişip 10 GB veri indirmiş olabileceği düşünülüyor
    • Bu verileri yasa dışı biçimde kullanmış olabilecekleri düşünülüyor
    • POTUS'un böyle bir erişime izin verip veremeyeceği belirsiz

  • DOGE çalışanları, AWS'nin IP adres havuzunu kullanarak kısıtlamaları aşabilecek kod indirdi

    • Kod kötü yazılmış
    • Irkçı olabilecekleri iddia ediliyor

  • DOGE çalışanlarının, AWS'nin "sınırsız" IP adreslerini kullanarak web sayfalarını otomatik screen scraping ile toplamak ve dahili NLRB veritabanından hassas verileri kopyalamaktan nasıl fayda sağlamış olabileceği sorgulanıyor

    • Aynı anda 10.000 oturumun veritabanında kimlik doğrulayıp veri çekip çekmediği sorgulanıyor
    • Dış IP'lerden son derece hassas verilere erişilebilen ve tek bir hesabın 10.000 kez giriş yaparak veri çekebildiği bir sistem varsa, bunun başlı başına bir sorun olduğu belirtiliyor

  • Marko Elez'in koduna yönelik eleştiriler GitHub "issues" sayfasında paylaşıldı

    • Kodun "güvensiz, ölçeklenemez ve temelde bir mühendislik başarısızlığı" olduğu değerlendirildi
    • Bu eleştirinin yapay zeka tarafından üretilmiş gibi göründüğü söyleniyor

  • Tesla ve Space-X CEO'sunun script kiddie işe aldığı iddia ediliyor

  • Birilerinin bu yüzden hapse girmesi gerektiği savunuluyor

    • Bunun basit bir yanlış anlaşılma değil, tüm ABD vatandaşlarına yönelik kasıtlı bir saldırı olduğu ileri sürülüyor

  • GitHub'da açık şekilde yayımlanan paket eleştiriliyor

    • Sanki private yapılabileceğini bilmiyorlarmış gibi görünüyor

  • Hükümet veritabanlarına izlenemez ve tam erişim konusunda endişe duyuluyor

  • Berulis, üstlerinin US-CERT'e bildirmemesini söylediği için bunu kamuya açıkladığını iddia ediyor

    • Eğer bu iddia doğruysa, üstlerinin bunu gizli tutmak istemesinin motivasyonunun ne olduğu sorgulanıyor
    • Federal hükümetin geri kalanının da aynı tehdit aktörü karşısında savunmasız olabileceği düşünülüyor
    • Üstlerinin güvenlik krizini daha iyi kanallardan bildirip bildirmediği ya da tamamen sessiz kalmaya mı çalıştığı sorgulanıyor