Un denunciador en Consejo Nacional para Relaciones Laborales (NLRB) supuestamente supuestamente supuestamente que los habitantes de Elon Musk Departamento de efectividad del gobierno (DOGE) Datos de datos Gigaoctet de los archivos de casos confidenciales de la agencia a principios de marzo. El denunciador dijo que las cuentas creadas para doge en el NLRB han descargado tres estándares de código desde Github. Una encuesta más en profundidad sobre uno de estos grupos de código muestra que es notablemente similar a un programa publicado en enero de 2025 por Marko ElezUn empleado de 25 años y duxt que trabajaba en varias empresas de almizcle.
Una captura de pantalla compartida por el denuncor NLRB Daniel Berulis muestra tres descargas de GitHub.
Según una queja presentada la semana pasada Daniel J. BerulisUn arquitecto de seguridad de 38 años en la NLRB, los funcionarios de DOGE se reunieron con los gerentes de NLRB el 3 de marzo y exigieron la creación de varias cuentas de “administradores de inquilinos” que iban a estar exentos de la actividad de periodización de la red que de otro modo retendrían un registro detallado de todas las acciones tomadas por estas cuentas.
Berulis dijo que las nuevas cuentas de Doge tenían autorización ilimitada para leer, copiar y modificar la información contenida en las bases de datos NLRB. Las nuevas cuentas también podrían restringir la visibilidad de los periódicos, retrasar la retención, enrutar periódicos en otro lugar o incluso eliminarlos por completo: privilegios de usuarios de alto nivel que ni Berulis ni su jefe tenían.
Berulis dijo que había descubierto que una de las cuentas de Doge había descargado tres bibliotecas de código externo de Github Que ni NLRB ni sus empresarios nunca han usado. Un archivo “Readm” en uno de los paquetes de código explicó que se había creado para ejecutar conexiones a través de un gran grupo de direcciones de Internet en la nube que sirven “Como indirecto de indirecto para generar IP de pseudo-Infini para rascarse la web y forzar en bruto. “Los ataques de fuerza bruta implican intentos de conexión automatizados que intentan muchas combinaciones de identificación de secuencia rápidamente.
Una búsqueda en esta descripción en Google revela un repositorio de código en GitHub para un usuario con el nombre de la cuenta “GE0RG3“Quien publicó un programa hace unos cuatro años llamó”Solicitudes de Roteer“, Descrita como una biblioteca que permitirá al usuario” evitar los límites de velocidad en función de IP para sitios y servicios “.
El archivo ReadMe de la página GitHub del usuario de GE0RG3 para solicitudes-IP-Rotator incluye la redacción exacta de un programa que el denunciador dijo que fue descargado por uno de los usuarios de Doge. Marko Elez creó una ramificación de este programa en enero de 2025.
“Una biblioteca de Python para usar el Grand Pool IP de AWS API Gateway como un proxy para generar Pseudo-Infini IP para rascar la web y el forzamiento en bruto”, dijo la descripción.
El código GE0RG3 es “código abierto”, ya que cualquiera puede copiarlo y reutilizarlo sin comercio. En este caso, hay una versión más reciente de este proyecto que se ha derivado o “horquillas” del código GE0RG3, llamado “Asíncrata– y fue unido a Github en enero de 2025 por Doge Captain Marko Elez.
El denunciador dijo que uno de los archivos de GitHub descargados por los empleados de Dogs que transfirieron archivos confidenciales de una base de datos de casos NLRB era un archivo cuyo archivo ReadMe se leyó: “La biblioteca de Python para usar la pasera IP de AWS y el proxy del proxy”. El código ELEZ ilustrado aquí fue bifurcado en enero de 2025 de una biblioteca de código que comparte la misma descripción.
Un miembro clave del personal de Doge que tenía acceso al sistema de pago central del Departamento del Tesoro, Elez trabajó para varias compañías de Musk, de las cuales incógnita, SpacexY xai. Elez fue uno de los primeros empleados de Doge en tratar con un examen público, después de The Wall Street Journal lo ha vinculado a las redes sociales que recomendó racismo y eugenesia.
Elez renunció después de este breve escándalo, pero fue comprometido después de que el presidente Donald Trump y el vicepresidente JD Vance expresaron su apoyo. Politico informes Elez ahora es un Departamento de trabajo ayuda detallada con varias agencias, incluida Departamento de Salud y Servicios Sociales.
“Durante la aprobación inicial de Elez al Tesoro, violó las políticas de seguridad de la información de la agencia enviando una hoja de cálculo que contiene nombres e información sobre información a los gerentes de la Administración de Servicios Generales”, escribió Politico, citando documentos judiciales.
Krebsonscurity solicitó comentarios tanto en NLRB como en Doge, y actualizará esta historia si uno u otro responde.
La NLRB ha sido obstaculizada desde Presidente Trump Tomó a tres miembros de la Junta Directiva, dejando la agencia sin el quórum que necesita para trabajar. Ambos Amazonas Y almizcles Spacex tener perseguido La NLRB sobre las quejas de que la agencia ha presentado en disputa sobre los derechos de los trabajadores y la organización sindical, argumentando que la existencia misma de la NLRB es inconstitucional. El 5 de marzo, un tribunal de apelaciones estadounidense rechazado por unanimidad La afirmación de Musk de que la estructura de la NLRB de alguna manera viola la Constitución.
La queja de Berulis alega que las cuentas de Doge de NLRB han descargado más de 10 gigabytes de datos de los archivos de la agencia, una base de datos que incluye trenes de archivos confidenciales, incluida la información sobre los empleados que desean formar sindicatos y documentos comerciales propietarios. Berulis dijo que se hizo público después de que los altos funcionarios de la agencia le dijeron que no informara la pregunta al-Cert US, como habían acordado anteriormente.
Berulis le dijo a Krebssurity que temía que la transferencia de datos no autorizados por Dege beneficiaría injustamente a los acusados en varias disputas en progreso ante la agencia.
“Si una empresa obtuviera casos, sería una ventaja injusta”, dijo Berulis. “Podrían identificar y despedir a los empleados y organizadores del sindicato sin decir por qué”.
Marko Elez, en una foto de un perfil de redes sociales.
Berulis dijo que los otros dos archivos de Github que Dege empleados descargaron de los sistemas NLRB incluidos IntiguruUn marco de software diseñado para inquietos interfaces de programación de aplicaciones (API) a salvo de los ingenieros que los sitios web usan para recuperar datos; Y un navegador “sin cabeza” llamado Navegadorque está diseñado para la automatización de tareas web que requieren un grupo de navegadores, como rasguños web y pruebas automatizadas.
El 6 de febrero, alguien publicó una crítica larga y detallada Desde el código ELEZ en la página de “Problemas” GitHub para Async-IP-Rotorateur, la persona que llama “no afligible, poco atractiva y una falla de ingeniería fundamental”.
“Si fuera un proyecto paralelo, sería solo un mal código”, escribió el crítico. “Pero si esto es representativo de cómo construye sistemas de producción, entonces hay preocupaciones mucho más importantes. Esta implementación está fundamentalmente rota, y si algo similar se implementa en un entorno gigante de datos confidenciales, debe verificarse de inmediato”.
Leer más en -Deph: La queja de Berulis (PDF).