Você já imaginou uma invasão cibernética dentro de uma agência governamental americana? Prepare-se, porque a história que vou contar envolve um denunciante, a empresa DOGE, e um acesso não autorizado aos sistemas do Conselho Nacional de Relações Trabalhistas (NLRB).
Um arquiteto DevSecOps do NLRB, chamado Dan Berulis, revelou informações preocupantes sobre as atividades da DOGE dentro da agência. Segundo seu relato, a DOGE recebeu permissões exorbitantes, ignorando os protocolos de segurança.
Acesso Ilegal e Violação de Protocolos
De acordo com Berulis, a DOGE chegou à agência em um SUV preto com escolta policial. No mesmo dia, um funcionário do NLRB concedeu às equipes da DOGE acesso com “permissão essencialmente irrestrita para ler, copiar e alterar dados”. Isso contrariou completamente os procedimentos operacionais padrão e, pior, a criação dessas contas não foi registrada.
Nem mesmo o CIO do NLRB tinha o mesmo nível de acesso concedido à DOGE. Havia contas de auditoria existentes que permitiam verificação de dados sem a possibilidade de edição, cópia ou remoção. A sugestão de usar essas contas foi ignorada.
Berulis relatou que, nos dias seguintes, observou sinais preocupantes: ferramentas de alerta e monitoramento desativadas e alterações na autenticação multifator. Ele também testemunhou a exfiltração de grandes quantidades de dados, incluindo um incidente de 10 GB.
A Conexão Russa
Em 11 de março, Berulis notou um pico de tentativas de login bloqueadas de um endereço IP na região de Primorsky Krai, na Rússia. Essas tentativas visavam a conta de um funcionário da DOGE, usando o nome de usuário e senha corretos em menos de 15 minutos da criação da conta.
A agência bloqueou as tentativas, pois não permite acesso de fora dos EUA. A investigação de Berulis foi prejudicada pela falta de ferramentas adequadas para analisar o tráfego de saída. Apesar de um contato inicial com o US-CERT, a investigação foi interrompida por ordem superior.
A Negação e as Consequências
Inicialmente, um porta-voz do NLRB negou o acesso da DOGE à rede da agência. Após a denúncia de Berulis, a agência mudou sua versão e confirmou a presença de funcionários da DOGE.
Legisladores democratas estão exigindo uma investigação completa. Eles expressaram preocupação com a possível exfiltração de dados sensíveis e a obstrução de investigações. Um conflito de interesse claro foi apontado em relação a Elon Musk, visto que suas empresas enfrentam ações da NLRB e do Departamento do Trabalho (DOL).
A situação levanta sérias questões sobre segurança cibernética em órgãos governamentais e a necessidade de protocolos rígidos de acesso e monitoramento.
Em resumo, o caso revela uma falha grave na segurança do NLRB, com acesso privilegiado indevido à DOGE, exfiltração de dados e tentativas de login de um IP russo, culminando numa denúncia que trouxe à tona um conflito de interesses com Elon Musk.
Compartilhe suas experiências com segurança cibernética em ambientes corporativos!
Fonte: The Register
