DOGE mühendisinin kodu, NLRB ihbarcısının iddialarını destekliyor
(krebsonsecurity.com)- NLRB güvenlik mimarı Daniel J. Berulis, DOGE hesaplarının mart başında hassas dava dosyalarından 10 GB’tan fazla veri aldığını öne sürdü; indirilen GitHub kod paketlerinden birinin DOGE çalışanı Marko Elez’in koduna çok benzediği belirlendi
- Berulis’e göre DOGE için oluşturulan hesaplar tenant admin yetkilerine sahipti ve ağ günlükleme istisnası talep edilmişti; bu düzey, verilere erişme, kopyalama, değiştirme ve günlük görünürlüğünü sınırlama imkânı veriyordu
- Söz konusu kodun açıklaması, AWS API Gateway’in geniş IP havuzuyla “pseudo-infinite IPs” oluşturarak bunu web scraping ve brute force için kullanmayı anlatıyor; GitHub’daki requests-ip-rotator ve Elez’in Ocak 2025’te fork’ladığı async-ip-rotator ile bağlantılı
- Birlikte indirilen GitHub arşivlerinde, web sitesi API’lerini tersine mühendislikle çözmeye yarayan Integuru ve web görev otomasyonu için headless tarayıcı Browserless da yer alıyordu; bunların tümü scraping ve otomasyon bağlamıyla örtüşüyor
- NLRB dava dosyalarında sendikalaşmak isteyen çalışanlara ait bilgiler ve şirketlerin özel belgeleri bulunduğundan Berulis, bu verilerin şirketlerin eline geçmesi hâlinde devam eden iş uyuşmazlıklarında davalı tarafa haksız avantaj sağlayabileceğinden endişe ediyor
NLRB ihbarcısının iddiası
- NLRB güvenlik mimarı Daniel J. Berulis, DOGE ile ilişkili kişilerin mart başında kurumun hassas dava dosyalarından gigabaytlarca veriyi dışarı çıkardığını iddia ediyor
- Berulis’in ihbar dilekçesine göre DOGE ile ilişkili kişiler 3 Mart’ta NLRB yönetimiyle görüşerek birden fazla güçlü tenant admin hesabı oluşturulmasını talep etti
- Bu hesapların, normalde ayrıntılı etkinlik kayıtları tutan ağ günlüklemesinden muaf tutulması istendi
- Yeni DOGE hesaplarının NLRB veritabanlarındaki bilgileri okuma, kopyalama ve değiştirme konusunda sınırsız yetkiye sahip olduğu söyleniyor
- Ayrıca günlük görünürlüğünü sınırlama, saklamayı geciktirme, günlükleri başka yere yönlendirme veya tamamen kaldırma yetkilerine de sahip oldukları belirtiliyor
- Berulis, kendisinin veya amirinin bile sahip olmadığı en üst düzey kullanıcı yetkilerinin DOGE hesaplarına verildiğini öne sürüyor
GitHub kod indirmeleri ve IP rotasyon aracı
- Berulis, DOGE hesaplarından birinin NLRB’nin veya yüklenicilerinin daha önce hiç kullanmadığı üç harici GitHub kod kütüphanesini indirdiğini tespit ettiğini söylüyor
- Bu kod paketlerinden birinin README dosyası, AWS API Gateway’in geniş IP havuzunu proxy gibi kullanarak web scraping ve brute force için “pseudo-infinite IPs” oluşturduğunu açıklıyor
- Aynı açıklama metni arandığında GitHub kullanıcısı Ge0rg3’ün requests-ip-rotator deposu çıkıyor; bu kütüphane, IP tabanlı istek sınırlamalarını aşmayı mümkün kıldığı şeklinde tanıtılıyor
- Söz konusu açıklama, “AWS API Gateway’in large IP pool’unu proxy olarak kullanıp web scraping ve bruteforcing için pseudo-infinite IPs oluşturan Python library” anlamına geliyor
- Ge0rg3’ün kodu, herkesin ticari olmayan amaçlarla kopyalayıp yeniden kullanabileceği açık kaynak kod olarak tanıtılıyor
Marko Elez’in async-ip-rotator’ı ile bağlantı
- Ge0rg3’ün requests-ip-rotator’ından türetilmiş yeni bir proje olan async-ip-rotator bulunuyor; DOGE çalışanı Marko Elez, Ocak 2025’te GitHub’a commit yaptı
- İhbarcının DOGE kullanıcısının indirdiğini söylediği GitHub dosyasındaki README metni, Elez’in fork’una dayalı kodla aynı açıklamayı paylaşıyor
- Elez, Treasury Department’ın merkezi ödeme sistemine erişen başlıca DOGE personelinden biri olarak tanıtılıyor
- X, SpaceX, xAI gibi çeşitli Musk şirketlerinde çalışmış geçmişi bulunuyor
- The Wall Street Journal, Elez’i ırkçılığı ve öjeniği savunan sosyal medya paylaşımlarıyla ilişkilendirdi
- Elez tartışmanın ardından istifa etti, ancak Başkan Donald Trump ve Başkan Yardımcısı JD Vance’in desteğinden sonra yeniden işe alındı
- Politico’ya göre Elez şu anda Labor Department danışmanı olarak birden çok kuruma görevlendirilmiş durumda; bunlara Department of Health and Human Services da dahil
- Politico, mahkeme dosyalarına atıfla Elez’in Treasury’deki görevinin ilk dönemlerinde isimler ve ödeme bilgileri içeren bir elektronik tabloyu General Services Administration yetkililerine göndererek bilgi güvenliği politikasını ihlal ettiğini aktardı
Birlikte indirilen diğer araçlar
- Berulis, DOGE çalışanlarının NLRB sistemlerine indirdiği diğer iki GitHub arşivi olarak Integuru ve Browserless’ı işaret ediyor
- Integuru, web sitelerinin veri alırken kullandığı uygulama programlama arayüzlerini (API) tersine mühendislikle çözmek üzere tasarlanmış bir yazılım framework’ü
- Browserless, web tabanlı görev otomasyonu için headless bir tarayıcıdır
- Web scraping
- Otomatik test
- Birden fazla tarayıcı havuzu gerektiren işlerde kullanılabilir
Kod kalitesi eleştirisi ve deponun silinmesi
- 6 Şubat’ta biri Elez’in async-ip-rotator GitHub issues sayfasına uzun bir eleştiri yazdı ve kodu “insecure, unscalable and a fundamental engineering failure” olarak niteledi
- Eleştiri, bu kod yalnızca basit bir yan proje olsaydı kötü koddan ibaret kalacağını; ancak hassas verilerle çalışan bir ortama benzer bir uygulama dağıtıldıysa derhâl denetlenmesi gerektiğini belirtti
- Makalenin yayımlanmasından sonra Elez’in kod deposu silindi
- Silinen deponun arşivlenmiş sürümü burada duruyor
NLRB verilerinin hassasiyeti ve iş uyuşmazlıklarına etkisi
- Berulis’in ihbar dilekçesi, DOGE hesabının NLRB dava dosyaları veritabanından 10 GB’tan fazla veri indirdiğini öne sürüyor
- Bu veritabanı, sendikalaşmak isteyen çalışanlarla ilgili bilgiler ve şirketlerin özel iş belgeleri dahil çok sayıda hassas kayıt içeriyor
- Berulis, üstlerinin daha önceki mutabakata aykırı olarak bu konuyu US-CERT’e bildirmemesini istemesi nedeniyle kamuoyu önüne çıktığını söylüyor
- Berulis, izinsiz veri aktarımı doğruysa NLRB’de bekleyen çeşitli iş uyuşmazlıklarında davalı tarafa haksız avantaj sağlayabileceğinden endişe ediyor
- Herhangi bir şirketin dava verilerini elde etmesi hâlinde haksız avantaja sahip olacağını söylüyor
- Şirketlerin çalışanları ve sendika örgütleyicilerini tespit edip gerekçe göstermeden işten çıkarabileceğini söylüyor
NLRB etrafındaki hukuki durum
- Başkan Trump’ın yönetim kurulu üyelerinden üçünü görevden almasının ardından NLRB, çalışması için gerekli quorum’u kaybetti ve fiilen kısıtlanmış durumda
- Amazon ve Musk’ın SpaceX’i, işçi hakları ve sendikal örgütlenmeyle ilgili uyuşmazlıklarda NLRB’nin sunduğu complaint’lar nedeniyle NLRB’ye karşı dava yürütüyor
- İki şirket, NLRB’nin varlığının başlı başına anayasaya aykırı olduğu yönünde argümanlar ileri sürüyor
- 5 Mart’ta ABD temyiz mahkemesi, NLRB yapısının anayasayı ihlal ettiği yönündeki Musk tarafının iddiasını oybirliğiyle reddetti
- KrebsOnSecurity, hem NLRB’den hem de DOGE’den görüş istediğini ve yanıt gelirse güncelleme yapacağını belirtti
1 yorum
Hacker News yorumları
Ge0rg3’ün kodu, herkesin ticari olmayan amaçlarla kopyalayıp yeniden kullanabilmesi anlamında açık kaynaktı; DOGE’den Marko Elez’in Ocak 2025’te GitHub’a yüklediği “async-ip-rotator” da bu koddan türetilmiş bir fork gibi görünüyor.
Özgün kod: https://github.com/Ge0rg3/requests-ip-rotator
Fork: https://github.com/markoelez/async-ip-rotator
Kod neredeyse aynı; yalnızca yorumlar kaldırılmış, biraz
asyncserpiştirilmiş ve ufak değişiklikler yapılmış düzeyde. Sanki bir LLM’e yapıştırılıp asenkron hale getirmesi istenmiş gibi. Ancak özgün GPL3 lisansı ortadan kaybolmuş; bu da DOGE ekibinin anlayacağı ya da saygı göstereceği türden bir şey değil gibi.Arşivlenmiş depo sayfası: https://archive.ph/LI7tt; önceki depo sayısının arşiv kopyası: https://archive.ph/tgkg5
0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
İçerikte şu deniyordu: “Bir yan proje olsaydı yalnızca kötü kod olarak kalırdı; ama prodüksiyon sistemleri böyle inşa ediliyorsa bu çok daha büyük bir kaygı konusu. Bu uygulama temelden bozuk ve hassas verilerle çalışan bir ortama buna benzer bir şey dağıtıldıysa derhal denetlenmeli.”
Kişisel bir kopyadan lisansı silmek lisans koşulları açısından tamamen mümkün; bunu özel bir GitHub deposuna yüklemek de sorun değil. Ancak ücretsiz özel depo sınırlaması gibi nedenlerle dağıtım niyeti olmadan herkese açık bir depoya yüklediyse bunun ne anlama geldiği belirsiz.
İhbar içeriğinde şu kısım çok daha ciddi görünüyor.
11 Mart 2025 civarında NxGen metriklerinde, önceki haftanın belirli bir anında olağan dışı kullanım görüldüğü; baz çizginin çok üzerinde yanıt süreleri ve geçmişteki her zamankinden daha yüksek ağ çıkışı artışı olduğu söyleniyor. Bu, bir veri sızıntısı olayıyla neredeyse aynı zamana denk gelmiş; ayrıca yurt dışı girişler olduğu için erişim politikası tarafından engellenen oturum açma denemeleri de artmış.
Örneğin DOGE’nin NLRB sistemlerine erişmesinden sonraki birkaç gün içinde, Rusya’daki Primorskiy Krai bölgesine ait IP adresi olan bir kullanıcı oturum açmayı denemeye başlamış; denemeler engellenmiş olsa da bunun özellikle kaygı verici olduğu belirtiliyor. Bu girişte, DOGE bağlantılı etkinliklerde kullanılan yeni hesaplardan biri kullanılmış; kimlik doğrulama akışının yalnızca yurt dışı girişleri engelleyen politikada durmasına bakılırsa doğru kullanıcı adı ve parolaya sahipmiş gibi görünüyor. Bu tür 20’den fazla deneme olmuş; bunların önemli bir kısmının DOGE mühendislerinin hesapları oluşturmasından sonraki 15 dakika içinde gerçekleşmesi özellikle kaygı verici.
En kötü yorum daha basit: Bu kişiler Rusya’nın ajanı olarak çalışıp Rusya’nın içeri girmesini sağlamış ya da Rusya için keylogger kurmuş olabilir.
DOGE personelinin scraping için birden fazla bulut IP adresi kullandığını güçlü biçimde gösteren kanıt bu.
İhbara göre DOGE yetkilileri 3 Mart’ta NLRB yönetimiyle görüşerek, söz konusu hesapların tüm faaliyetlerini ayrıntılı biçimde kaydeden ağ loglamasından muaf olacak tam yetkili birkaç “tenant admin” hesabı oluşturulmasını talep etmiş.
Occam’ın usturasıyla bakınca durum oldukça net görünüyor; yine de böyle bir talep için meşru bir gerekçe olup olamayacağını merak ediyorum.
Denetim kaydı olmadığı için bulguları uydurmadıklarına dair kanıt da sunamazlar. Bir dahaki sefere 170 yaşındaki birinin sosyal güvenlik çeki aldığını iddia ettiklerinde, herhangi bir tabloda doğum tarihinden 100 yıl çıkarmadıklarını kanıtlamanın yolu yok.
DOGE çalışanlarının erişmemesi gereken verilere eriştiği oldukça açık görünüyor
Habere göre DOGE, çok geniş görüntüleme ve değiştirme yetkilerine sahip bir hesaba erişti; DOGE’den biri 10 GB veri indirmiş olabilir. Bunun kullanım biçimi yasa dışı olabilir, hatta en başta erişimin kendisi de yasa dışı olabilir. Başkanın böyle bir erişim yetkisi verip veremeyeceği de belirsiz; kişisel olarak bunun mümkün olmadığını düşünüyorum
Ayrıca bir DOGE çalışanı, kısıtlamaları aşmak için AWS’nin devasa IP havuzunu kullanabilecek kodu indirmiş; kod berbat yazılmış ve o kişi ırkçı ifadeler de kullanmış
Ancak AWS’nin “sınırsız” IP adresleriyle web sayfalarını otomatik olarak screen-scraping yapmanın, NLRB’nin iç veritabanındaki aşırı hassas verileri kopyalamada nasıl bir fayda sağladığını pek anlamıyorum. Aşırı hassas veri sistemi dış IP’lerden erişilebilir durumdaysa ve tek bir hesapla 10 bin eşzamanlı oturuma izin verip iç DB’nin kazınmasına olanak tanıyorsa sistem ciddi biçimde bozuk demektir. Yoksa bu kodun NLRB içindeki 100 ya da 10 bin IP’yi kullanacak şekilde değiştirildiği mi kastediliyor, o da belirsiz. Sonlarda bahsedilen otomasyon, iş desteği amacı için daha mantıklı görünüyor
Tesla ve SpaceX’in CEO’su olan, kendi yüksek IQ’sunu öne süren ve programcı olarak bilinen kişinin, devlet teknolojisini küçültmek için kurulan elit Delta Force’a fiilen bir script kiddie istihdam etmiş olduğu anlaşılıyor
Yine de daha sonra SpaceX’in ilk dönemlerinde Musk’ın yetkin ve becerikli bir lider olduğuna dair değerlendirmeler duyunca şaşırdım. Belki kişilik kültünün sonucuydu ama kulağa makul de gelmişti. O zamanlar kendini en iyi mühendis gibi oynamıyor, mühendislik yöneticisinin yerini biliyor gibiydi. Kod yazamasa da yazılımı iyi anlayan, ne zaman bizzat kod yazılacağını ne zaman tasarımla bastırılacağını iyi ayırt eden iyi bir yöneticiye benzemiş olabilir
Sonuçta şöhret güçlü bir uyuşturucu gibi. Musk’ın özellikle “yüksek IQ’lu” olduğunu sanmıyorum; ilk evliliğine bakınca da her zaman kadın düşmanı bir loser gibi duruyor, ama “gerçek hayattaki Tony Stark” diye yüceltilmesi beynini bozmuş gibi. Ketamin de yardımcı olmayacaktır
Böyle insanlar, hayallerindeki “en iyilerin en iyisini” bulup çevrelerine toplar; bu inancın sorgulanmaması egoları için çok önemli hale gelir. Karşı kanıtlara körleşirler ve “keşfettikleri” kişilerin olağanüstü olması gerekir ki kendi yetenek seçme becerileri meşrulaşsın
Burada da böyle bir şey oluyor gibi. Elon’ın çevresindekiler pek de sıra dışı görünmüyor ve yetkinlikleri de çok şüpheli, ama kendi mitini ayakta tutmak için bir “Super Coders” haremine ihtiyacı var
Mesaj şu: Kiralık araba bile kiralayamayacak kadar sıradan birkaç bilgisayar bilimi öğrencisi, kamu kurumlarının en temel mali bilgilerini inceleyerek bile milyarlarca dolar tasarruf sağlayabilir. Yani bunlar “Delta Force” değil, stajyer olmalıydı
Amaç uğruna araçları savunmak istemiyorum, fakat vergilerin daha verimli kullanılmasını isterim. Aynı zamanda bunlara verilen erişim yetkisi düzeyi son derece endişe verici ve fiilen hiçbir hesap verebilirlik yok
Marko’nun kim olduğunu görmezden gelsek bile, rastgele birinin depoya neden bu şekilde açık bir hedef gösterme yazısı bıraktığı tuhaf. Tesadüfen denk geldiğim bir depoyu görüp saldırmak istediğim hiç olmadı; eleştiride de yapay zeka tarafından üretilmiş gibi bir koku var
Alıntı bağlantısı: https://github.com/markoelez/async-ip-rotator/issues/1
Ardından gelen yorum da tesadüf saymak için ilginç, epey tuhaf bir etkileşim
Bu yüzden birileri gerçek kodlama becerisinin ne düzeyde olduğunu merak etmiş ve yaptığı depolara bakmış olabilir. Daha sonra Musk, X’te Elez’in DOGE’de yeniden işe alınıp alınmaması için “oylama” yaptı; 20 Şubat’ta Elez’in yeniden ABD hükümetine ait bir e-posta adresi vardı, 21 Şubat’ta ise Sosyal Güvenlik Kurumu’nda DOGE işi yaptığı bildirildi
Bu paketlerin GitHub’da herkese açık bırakılmış olması başlı başına tuhaf. Özel yapılabileceğini bilmiyorlar mı, açıkçası bu insanların ne kadar aptal olduğunu gösteriyor
Bu yönetimin verdiği af listesine bakmak yeterli. Bunlar hakkında dava bile açılmayacak
Bu iş yüzünden birileri hapse girmeli. Bu basit bir yanlış anlama değil, tüm Amerikan vatandaşlarına yönelik kasıtlı bir saldırı
Endişelendikleri derin devlet tam da bu; onları ezecek çizme de bu
Düzenleme: Üst yorum bu makaledeki en üst sıradaydı, şimdi en altta mı?
Bir sonraki Kongre ve yönetimin bunu toparlamasını engelleyecek araç af değilse, alternatifi düşünmek için fazla karanlık
Devlet veritabanlarına iz bırakmadan tam erişim sahibi olmanın yansımalarını hayal etmek bile zor
İnsanların ciddiye alacağı kadar yeterli dayanak olmasını ummaktan başka bir şey yok. Ortaya çıkma ihtimali olan kaç vakanın kaldığı ise okuyucuya kalmış
Tam olarak ne iddia edildiğini bilmiyorum. DOGE çalışanları GitHub’daki “hacker” kodunu yazıp/kullanarak NLRB verilerindeki güvenlik kısıtlarını mı aştı? Zaten sistemde bir süper kullanıcı hesabı varsa buna neden ihtiyaç duymuşlar, merak ediyorum
Bildirim belgesini okumanızı öneririm: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...