举报人：DOGE窃取 NLRB 案件数据

Whistleblower: DOGE Siphoned NLRB Case Data

Source | HN Comments

NLRB 的安全架构师举报称，DOGE 员工在 3 月初从 NLRB 窃取了敏感数据，使用了难以追踪的短期账户。举报人 Daniel Berulis 指出，数据外流伴随着来自俄罗斯的登录尝试，使用了 DOGE 员工的有效凭据。他声称 DOGE 获得了无限权限的“租户管理员”账户，可以读取、复制、更改和删除数据，并阻止日志记录。Berulis 还发现 NLRB 的网络监控被关闭，并从 GitHub 下载了外部代码库。他因举报受到威胁，目前休假。NLRB 否认数据泄露，但 Berulis 认为需要进一步调查。

[正文内容]

2025年4月21日 11 条评论

National Labor Relations Board (NLRB) 的一名安全架构师声称，Elon Musk 的Department of Government Efficiency (DOGE) 的员工在 3 月初从该机构的案件文件中转移了数 GB 的敏感数据，他们使用了配置为几乎不留下任何网络活动痕迹的短期账户。这位 NLRB 举报人表示，异常大量的数据外流与来自俄罗斯的一个互联网地址的多次登录尝试同时发生，该地址试图使用新创建的 DOGE 用户帐户的有效凭据。

Daniel J. Berulis 向参议院情报特别委员会提交的举报声明的封面信。

这些指控来自 4 月 14 日致参议院情报特别委员会的一封信，信上署名的是 NLRB 的一名 38 岁的安全架构师 Daniel J. Berulis。

NPR 最先报道了 Berulis 的举报投诉，NLRB 是一个小型、独立的联邦机构，负责调查和裁决有关不公平劳动行为的投诉，并存储“大量潜在的敏感数据，从希望成立工会的员工的机密信息到专有的商业信息”。

投诉文件记录了从 3 月 3 日开始的一个月的时间，在此期间，据报道 DOGE 官员要求在 NLRB 系统中创建拥有无限权限的“租户管理员”帐户，这些帐户可以免于网络日志记录活动，否则这些活动会详细记录这些帐户执行的所有操作。

Berulis 说，新的 DOGE 帐户拥有不受限制的权限来读取、复制和更改 NLRB 数据库中包含的信息。这些新帐户还可以限制日志可见性、延迟保留、将日志路由到其他位置，甚至完全删除它们——这些都是 Berulis 和他的老板都没有的顶级用户权限。

Berulis 写道，3 月 3 日，一辆黑色 SUV 在警察护送下抵达了他的大楼——位于华盛顿特区东南部的 NLRB 总部。DOGE 的工作人员没有与 Berulis 或 NLRB 的任何 IT 人员交谈，而是与该机构的领导层会面。

“我们的代理首席信息官告诉我们，不要遵守 DOGE 帐户创建的标准操作程序，并且不得记录为 DOGE 员工创建的帐户，因为他们需要最高级别的访问权限，”Berulis 在会议结束后写道。

他继续说道：“我们已经内置了审计员可以使用的角色，并且过去已经广泛使用过，但如果没有批准，就无法更改或访问子系统。他们使用这些帐户的建议是不容讨论的。”

Berulis 发现，3 月 3 日，其中一个 DOGE 帐户创建了一个不透明的虚拟环境，称为“container”，它可以用来构建和运行程序或脚本，而不会向外界透露其活动。Berulis 说，这个 container 引起了他的注意，因为他询问了他的同事，发现他们中没有人曾在 NLRB 网络中使用过 container。

Berulis 还说，他注意到第二天早上（大约在 3 月 4 日星期二美国东部时间凌晨 3 点到 4 点之间），该机构的传出流量大幅增加。他说，经过与同事几天的调查，确定其中一个新帐户从 NLRB 的 NxGen 案件管理系统中转移了大约 10 GB 的数据。

Berulis 说，他和他的同事都没有必要的网络访问权限来查看哪些文件被访问或传输——甚至不知道它们去了哪里。但他的投诉指出，NxGen 数据库包含有关工会、正在进行的法律案件和公司机密等敏感信息。

“我也不知道总数据量是否只有 10GB，或者是否事先进行了整合和压缩，”Berulis 告诉参议员。“这增加了导出更多数据的可能性。无论如何，这种峰值非常不寻常，因为数据几乎从不直接离开 NLRB 的数据库。”

Berulis 说，当他们注意到来自俄罗斯互联网地址 (83.149.30,186) 的近二十几次登录尝试时，他和他的同事更加震惊，这些尝试提供了 DOGE 员工帐户的有效登录凭据——该帐户是仅仅几分钟前才创建的。Berulis 说，由于禁止从非美国地区登录的规则，这些尝试都被阻止了。

“试图登录的人使用的是在其他 DOGE 相关活动中使用的新创建的帐户之一，并且他们似乎拥有正确的用户名和密码，因为身份验证流程仅由于我们激活的禁止境外登录策略而阻止了他们，”Berulis 写道。“有 20 多次这样的尝试，特别令人担忧的是，其中许多登录尝试发生在 DOGE 工程师创建帐户后的 15 分钟内。”

根据 Berulis 的说法，连接到可疑活动的某个 Microsoft 用户帐户的命名结构表明，它已在 NLRB 的云系统中为 DOGE 使用而创建，然后又被删除：“DogeSA_2d5c3e0446f9@nlrb.microsoft.com”。他还发现其他具有非标准用户名的 Microsoft 云管理员帐户，包括“Whitesox, Chicago M. ”和“Dancehall, Jamaica R.”。

Berulis 分享的显示可疑用户帐户的屏幕截图。

3 月 5 日，Berulis 记录到最近创建的网络资源的大部分日志都丢失了，并且 Microsoft Azure 中的网络监视器被设置为“关闭”状态，这意味着它不再像以前那样收集和记录数据。

Berulis 说，他发现有人从 GitHub 下载了三个外部代码库，而 NLRB 及其承包商从未使用过这些代码库。其中一个代码包中的“readme”文件解释说，它是为了通过大量的云互联网地址轮换连接而创建的，这些地址“用作代理，为网络抓取和暴力破解生成伪无限 IP”。暴力破解攻击涉及自动登录尝试，这些尝试会快速尝试许多凭据组合。

投诉称，到 3 月 17 日，很明显 NLRB 不再拥有充分调查 DOGE 帐户异常活动所需的资源或网络访问权限，并且在 3 月 24 日，该机构的副首席信息官已同意应向 US-CERT 报告此事。US-CERT 由国土安全部的 Cybersecurity and Infrastructure Security Agency (CISA) 运营，为联邦和州机构提供现场网络事件响应能力。

但 Berulis 说，在 4 月 3 日至 4 日期间，他和副 CIO 被告知“已下达指示，停止 US-CERT 报告和调查，并指示我们不要继续或创建正式报告。” Berulis 说，正是在这个时候，他决定公开他的发现。

Daniel Berulis 于 3 月 28 日发给同事的一封电子邮件，其中提到了本月早些时候无法解释的流量峰值以及未经授权更改用户帐户的安全控制措施。

NLRB 的代理新闻秘书 Tim Bearese 告诉 NPR，DOGE 既没有要求也没有获得对其系统的访问权限，并且“该机构在 Berulis 提出他的担忧后进行了调查，但‘确定该机构的系统没有遭到破坏’”。NLRB 没有回应 KrebsOnSecurity 的提问。

尽管如此，Berulis 分享了许多支持性屏幕截图，显示了该机构关于归因于 DOGE 帐户的无法解释的帐户活动的电子邮件讨论，以及 Microsoft 关于在此期间观察到的网络异常情况的 NLRB 安全警报。

正如 CNN 上个月报道的那样，自从 President Trump 解雇了三名董事会成员以来，NLRB 实际上已经瘫痪，导致该机构没有履行职能所需的法定人数。

CNN 写道：“尽管存在局限性，但该机构已成为该国一些最富有和最有权势的人的眼中钉——尤其是 Elon Musk，特朗普在财政上和政治上都是关键支持者。”

Amazon 和 Musk 的 SpaceX 都已起诉 NLRB，原因是该机构就有关工人权利和工会组织的纠纷提出的投诉，他们认为 NLRB 的存在本身就是违宪的。3 月 5 日，美国一家上诉法院一致驳回 Musk 的主张，即 NLRB 的结构在某种程度上违反了宪法。

Berulis 与 KrebsOnSecurity 分享了屏幕截图，显示在 NPR 发布关于他的说法的故事的当天（4 月 14 日），NLRB 的副 CIO 发送了一封电子邮件，声明已从所有员工帐户中删除了管理控制权限。Berulis 说，这意味着突然之间，该机构的所有 IT 员工都无法正常工作了。

NLRB 的副首席信息官 Eric Marks 发送的一封电子邮件，通知员工他们将失去安全管理员权限。

Berulis 分享了 NLRB 主任 Lasharn Hamilton 于 4 月 16 日发出的机构范围内的电子邮件的屏幕截图，称 DOGE 官员已要求举行会议，并重申该机构之前与任何 DOGE 人员没有“官方”联系的说法。该消息通知 NLRB 员工，将有两名 DOGE 代表被派到该机构兼职几个月。

NLRB 主任 Lasharn Hamilton 于 4 月 16 日发送的一封电子邮件，声明该机构之前与 DOGE 人员没有任何联系。

Berulis 告诉 KrebsOnSecurity，当他的网络管理员访问权限受到限制时，他正在向 Microsoft 提交支持单，以请求有关 DOGE 帐户的更多信息。现在，他希望立法者要求 Microsoft 提供更多信息，说明这些帐户到底发生了什么。

他说：“这将使我们对情况有更深入的了解。Microsoft 必须比我们更清楚地了解情况。无论如何，这就是我的目标。”

Berulis 的律师告诉立法者，4 月 7 日，当他的客户和法律团队准备举报投诉时，有人用胶带将一张带有威胁性纸条的照片贴在 Berulis 先生家门上，这些照片是通过无人机拍摄的，内容是他在他家附近行走。

Berulis 的律师 Andrew P. Bakaj 在一份序言中写道：“这份威胁性纸条明确提到了他正在为你准备的这份披露，因为你是适当的监督机构。虽然我们不知道具体是谁做的这件事，但我们只能推测它涉及有权访问 NLRB 系统的人。”

Berulis 说，来自朋友、同事甚至公众的回应在很大程度上是支持性的，他并不后悔自己挺身而出的决定。

他说：“我没想到家门口会有一封信，也没想到会受到（机构）领导人的抵制。如果我必须重新做一次，我会再做一次吗？是的，因为第一次根本就不是一个选择。”

目前，Berulis 先生正在 NLRB 休带薪家庭假。他说，考虑到他被剥夺了在该机构工作所需的工具，这也没什么不好。

Berulis 在谈到 DOGE 员工时说：“他们进来并获得了完全的管理控制权，并将所有人锁定在外面，并表示将根据需要分配有限的权限。我们真的什么都做不了，所以我们实际上是在领工资数天花板上的瓷砖。”

更多阅读：Berulis 的投诉 (PDF)。