Já imaginou um caso de vazamento de dados envolvendo o governo dos EUA e um programa criado por um funcionário de Elon Musk? Parece ficção científica, mas é a realidade por trás de um recente caso de denúncia no Conselho Nacional de Relações Trabalhistas (NLRB).
Um denunciante, Daniel J. Berulis, um arquiteto de segurança do NLRB, revelou um preocupante episódio de acesso não autorizado a dados confidenciais da agência por funcionários do “Departamento de Eficiência Governamental” (DOGE) de Elon Musk.
Acesso Ilegal e Download de Códigos
De acordo com a denúncia, contas criadas para o DOGE no NLRB baixaram três repositórios de código do GitHub em março. Um desses códigos se assemelha a um programa publicado em janeiro pelo funcionário DOGE, Marko Elez. Esse programa possuía funcionalidades para contornar limitações de IP, tornando possível coletar dados massivamente através da internet.
As contas DOGE tinham privilégios de acesso altíssimos. Eles podiam ler, copiar e alterar informações em bancos de dados do NLRB, além de ter controle total sobre registros de atividades – privilégios que nem o próprio Berulis, nem seu chefe possuíam.
O Código de Marko Elez e Suas Implicações
O código baixado por Elez, chamado “async-ip-rotator”, é derivado de um programa de código aberto anteriormente disponível no GitHub, o “requests-ip-rotator”. A descrição original, e o código de Elez, indicavam claramente a intenção de uso para “raspagem da web e força bruta”.
Força bruta são tentativas automatizadas de login que testam diversas combinações de credenciais rapidamente. Essa técnica, combinada com o código para ultrapassar blocos de IP, dava a Elez potencial para acesso massivo e não autorizado a dados sensíveis.
Preocupações Sobre Segurança e Impacto
Berulis alertou que a transferência não autorizada de dados pelo DOGE poderia prejudicar inúmeros processos trabalhistas em andamento. Informações como dados de funcionários que desejam formar sindicatos e documentos empresariais confidenciais estavam em risco.
Ele também expressou preocupação sobre potenciais demissões de funcionários e organizadores sindicais sem explicações, caso empresas obtivessem acesso a essas informações. Berulis se pronunciou publicamente após ser orientado por superiores a não reportar o caso ao US-CERT, órgão de segurança cibernética dos EUA.
Consequências e Reflexões Finais
Este caso mostra a fragilidade dos sistemas de segurança de órgãos governamentais e os potenciais riscos de vazamento de dados confidenciais. A situação se agrava ainda mais com a paralisação do NLRB devido à falta de membros no conselho administrativo e a ação judicial de empresas como a SpaceX contra a própria existência da agência.
O fato de Marko Elez ter sido reintegrado após polêmica envolvendo postagens racistas e eugenicistas em redes sociais aumenta ainda mais a gravidade da situação e questiona os processos de segurança e controle de acesso em órgãos governamentais.
A denúncia de Berulis levanta sérias questões sobre a vulnerabilidade dos dados governamentais e a necessidade de mecanismos mais robustos de segurança cibernética. A história demonstra a importância da transparência e a atuação de denunciantes em casos como este.
Deixe seu comentário abaixo compartilhando suas opiniões sobre o caso e a importância da segurança de dados governamentais.
Fonte: KrebsOnSecurity
