正文:

一位在National Labor Relations Board (NLRB) 的举报人上周声称,Elon Musk 的 Department of Government Efficiency (DOGE) 的成员在三月初从该机构的敏感案件文件中窃取了数 GB 的数据。该举报人表示,为 NLRB 上的 DOGE 创建的帐户从 GitHub 下载了三个代码仓库。对其中一个代码包的进一步调查表明,它与 Marko Elez 在 2025 年 1 月发布的一个程序非常相似,Marko Elez 是一位 25 岁的 DOGE 员工,曾在 Musk 的多家公司工作过。

NLRB 举报人 Daniel Berulis 分享的屏幕截图显示了从 GitHub 下载的三个文件。

根据 Daniel J. Berulis (NLRB 一位 38 岁的安全架构师)上周提交的举报投诉,来自 DOGE 的官员在 3 月 3 日会见了 NLRB 的领导,并要求创建几个具有最高权限的“租户管理员”帐户,这些帐户可以免除网络日志记录活动,否则这些活动会详细记录这些帐户执行的所有操作。

Berulis 说,新的 DOGE 帐户拥有不受限制的权限来读取、复制和更改 NLRB 数据库中包含的信息。这些新帐户还可以限制日志可见性、延迟保留、将日志路由到其他地方,甚至完全删除它们——这是 Berulis 和他的老板都不具备的顶级用户权限。

Berulis 说,他发现其中一个 DOGE 帐户从 GitHub 下载了三个外部代码库,NLRB 及其承包商都从未使用过这些代码库。其中一个代码包中的“readme”文件解释说,它是为了通过大量云互联网地址轮换连接而创建的,这些地址“用作代理来生成伪无限 IP,用于网络抓取和暴力破解”。暴力破解攻击涉及自动登录尝试,以快速顺序尝试许多凭据组合。

在 Google 上搜索该描述会找到 GitHub 上的一个代码仓库,该仓库的用户名为“Ge0rg3”,大约四年前发布了一个名为“requests-ip-rotator”的程序,该程序被描述为一个库,允许用户“绕过基于 IP 的站点和服务速率限制”。

GitHub 用户 Ge0rg3 的 requests-ip-rotator 页面的 README 文件包含一个程序的准确措辞,举报人说该程序已被其中一个 DOGE 用户下载。Marko Elez 在 2025 年 1 月创建了这个程序的一个分支。

描述写道:“一个 Python 库,利用 AWS API Gateway 的大型 IP 池作为代理,为网络抓取和暴力破解生成伪无限 IP”。

Ge0rg3 的代码是“开源的”,任何人都可以复制它并将其用于非商业用途。碰巧的是,这个项目有一个更新的版本,它是从 Ge0rg3 的代码派生或“fork”出来的——名为“async-ip-rotator”——它于 2025 年 1 月由 DOGE 的负责人 Marko Elez 提交到 GitHub。

举报人表示,DOGE 员工从 NLRB 案件数据库传输敏感文件时下载的 GitHub 文件之一是一个归档文件,其 README 文件写道:“Python 库,利用 AWS API Gateway 的大型 IP 池作为代理,为网络抓取和暴力破解生成伪无限 IP”。此处显示的 Elez 的代码于 2025 年 1 月从一个共享相同描述的代码库中 fork 而来。

Elez 是一位重要的 DOGE 员工,他获得了财政部中央支付系统的访问权限,曾为 Musk 的多家公司工作,包括 XSpaceXxAI。在 The Wall Street Journal 将他与社交媒体帖子联系起来(这些帖子提倡种族主义和优生学)之后,Elez 成为第一批受到公众审查的 DOGE 员工之一。

在那次短暂的丑闻之后,Elez 辞职了,但在 Donald Trump 总统和 JD Vance 副总统表示支持他之后,他又被重新聘用了。Politico 报道 Elez 现在是 Labor Department 的助手,被派往多个机构,包括 Department of Health and Human Services

Politico 援引法庭文件写道:“在 Elez 最初在财政部任职期间,他违反了该机构的信息安全政策,将包含姓名和付款信息的电子表格发送给 General Services Administration 的官员。”

KrebsOnSecurity 向 NLRB 和 DOGE 寻求评论,如果任何一方做出回应,将更新此报道。

自从 Trump 总统解雇了三名董事会成员以来,NLRB 一直处于瘫痪状态,导致该机构没有履行职能所需的法定人数。Amazon 和 Musk 的 SpaceX起诉了 NLRB,原因是该机构在关于工人权利和工会组织纠纷中提出的申诉,他们认为 NLRB 的存在本身就不符合宪法。3 月 5 日,美国一家上诉法院一致驳回了 Musk 的说法,即 NLRB 的结构在某种程度上违反了宪法。

Berulis 的投诉称,NLRB 的 DOGE 帐户从该机构的案件文件中下载了超过 10 GB 的数据,该数据库包含大量敏感记录,包括关于想要成立工会的员工的信息和专有的商业文件。Berulis 说,在 Agency 的高层告诉他不要向 US-CERT 报告此事之后,他才公开此事,因为他们之前已经达成一致。

Berulis 告诉 KrebsOnSecurity,他担心 DOGE 未经授权的数据传输可能会不公平地让该机构面前正在进行的许多劳资纠纷中的被告受益。

“如果任何公司获得案件数据,那将是不公平的优势,”Berulis 说。“他们可以识别并解雇员工和工会组织者,而无需说明原因。”

Marko Elez,来自社交媒体资料的照片。

Berulis 说,DOGE 员工下载到 NLRB 系统的其他两个 GitHub 归档文件包括 Integuru,这是一个旨在对网站用于获取数据的应用程序编程接口 (API) 进行逆向工程的软件框架;以及一个名为 Browserless 的“headless”浏览器,它用于自动化需要浏览器池的基于 Web 的任务,例如 Web 抓取和自动化测试。

2 月 6 日,有人在 GitHub 上针对 async-ip-rotator 的“issues”页面发布了一篇冗长而详细的评论,称其“不安全、不可扩展且存在根本性的工程缺陷”。

“如果这是一个副项目,那只会是糟糕的代码,”评论员写道。“但如果这代表了你构建生产系统的方式,那么就会有更大的问题。这种实现从根本上说是坏的,如果任何类似的东西被部署在处理敏感数据的环境中,应该立即进行审核。”

进一步阅读:Berulis 的投诉 (PDF)。

更新于美国东部时间下午 7:06:Elez 的代码仓库在这篇文章发表后被删除。它的存档版本在这里