3 ポイント 投稿者 GN⁺ 2025-02-15 | 1件のコメント | WhatsAppで共有
  • Elon Muskの連邦政府縮小の現況を追跡する doge.gov が、外部者でも編集可能なデータベースからデータを取得している状態であることが確認された
  • 脆弱性を発見した2人は、第三者による書き込み操作が可能で、入力した内容が実際のウェブサイトに表示されると404 Mediaに共有した
  • あるコーダーがライブサイトに表示されるデータベース項目を少なくとも2件追加しており、.govサイトを嘲笑し、開かれたデータベースを指摘する文言が含まれていた
  • サイトは、MuskがDOGEの活動をXの @DOGEアカウント とDOGEウェブサイトに投稿すると述べた後に急いで公開され、その後、投稿ミラーと連邦職員統計が追加された
  • 匿名を希望したウェブ開発の専門家2人は、doge.govが政府サーバーではなく Cloudflare Pages 上に構築されているように見え、実際の実行コードもそこにデプロイされているとみている

外部者でも編集可能な doge.gov データベース

  • doge.gov はElon Muskの連邦政府縮小活動を追跡するために作られたウェブサイトである
  • 脆弱性を発見した2人は、このサイトが誰でも編集できるデータベースからデータを取得していると404 Mediaに共有した
  • 外部者がデータベースに項目を書き込むと、その項目が ライブウェブサイト に表示される構造であることが確認された

実際のサイトに表示された挿入項目

  • あるコーダーはデータベースに少なくとも2件の項目を追加し、その項目は実際の doge.gov サイトで表示されていた
    • “this is a joke of a .gov site”
    • “THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro”
  • 2つの項目はそれぞれ、doge.gov の workforceページ に表示される項目として扱われていた

急いで拡張された DOGE ウェブサイト

  • doge.gov は、Elon Muskが記者団に対しDepartment of Government Efficiencyが「可能な限り透明にしようとしている」と述べた後に急いで公開された
  • MuskはDOGEの行動を XのDOGEハンドル とDOGEウェブサイトに投稿すると述べた
  • 当時のDOGEウェブサイトは、事実上空のページだった
  • その後、水曜日と木曜日にサイトの構築がさらに進み、次の機能が追加された
    • @DOGE Xアカウントの投稿 ミラー
    • 米国連邦政府の人員に関する複数の統計

Cloudflare Pages ベースでのデプロイの状況

  • 匿名を希望したウェブ開発の専門家2人は、doge.govが Cloudflare Pages サイト上に構築されているように見えるとみている
  • 彼らは連邦ウェブサイトを調査している最中であるため、匿名を求めた
  • 2人は、doge.govが現在政府サーバーでホスティングされていないように見えると述べた
  • サイトが取得するデータベースには第三者が書き込むことができ、すでに第三者が書き込んだ内容が実際のウェブサイトに表示されている状態である
  • 2人の情報筋は、doge.govが実際の実行コードがデプロイされた Cloudflare Pagesウェブサイト からデータを取得している点を確認した

1件のコメント

 
GN⁺ 2025-02-15
Hacker News のコメント
  • https://archive.ph/wy1Wt

  • U.S. Digital Service(USDS) は DOGE に吸収される前から、連邦政府向けの静的ウェブサイトを作成・デプロイすることに長年の専門性があり、その全プロセスを公開していた。
    数分あれば、Jekyll で作られた usds.gov 全体(2,700個のアセットと文書、150MB)をクローンしてローカルや S3 に再デプロイでき、デプロイ手順もすべて書かれている: https://github.com/usds/website

    • 以前 Hacker News で USDS を知り、ずっと印象的だと思っていた。誰かが善意で「DOGE」を作りたかったのなら、つまり政府を破壊するのではなく効率を高めようとしていたのなら、USDS のような組織の権限と範囲を広げる形になっていたはずだと思う
    • 静的コンテンツ向けの 標準作業手順書(SOP) があるというのは、かなり良いことに感じる。
      毎日いくつもの SOP を使っているが、原則としては、名前だけ覚えていて他を全部忘れても、文書を探して学び直せばほぼ同じ結果を出せるべき、というものだ。1950年代のソ連文書にも現代的な SOP に似たものは見つかるが、折りたたみ SOP や軍隊のシャワー SOP のような米海軍の文書は特に実用的だ
    • 国家レベルの攻撃者の標的になる連邦政府サイトをデプロイするのに、公開ウェブ上の シェルスクリプト をそのまま実行しているのか?
      Dockerfile には curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.sh がある
    • 最近の変更は見えるが、アーカイブ用に過去のタイムスタンプも確認できるのか気になる
  • ハッキングそのものについて話したい。「データベースを開けっぱなしにしていた」より詳しい説明をしてくれる人はいる? その話をちゃんと見ようと思ってここに来たのに、まだ見当たらない

    • 誰かが JavaScript を**展開(非圧縮化)**してみたところ、その中にあった複数の REST エンドポイントが、サイト向けの検証なし CRUD エンドポイントだったことが分かった。
      https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
    • 私の情報源によると、変更可能なセキュリティなしの API エンドポイントがあったらしい
    • 「サイトが読み込んでいるデータベースに第三者が書き込め、その内容がライブのウェブサイトに表示された」くらいのことは言えるが、断定するには情報が足りない。
      SQL インジェクションかもしれないし、フロントエンドに認証情報が露出していたのかもしれない
    • SQL インジェクションに一票
    • 記事はペイウォールの向こうだが、実際にはサイトに表示される Twitter フィードに限った話のように聞こえる。
      基本的にサイトは Cloudflare にホストされていて、実際の DOGE の Twitter フィードではなく、サイトに記録された内容に偽ツイートを差し込めた、ということのようだ。実データが流出したわけではなさそう
  • 皮肉なことに WHOIS 記録は CISA、つまり Cybersecurity and Infrastructure Security Agency を指している。かなり信頼感が出るね

  • 節約額の内訳サイトは、バレンタインデーまでに領収書を見せると言っていた。
    https://www.doge.gov/savings
    今は「週末に領収書を公開予定!」となっている。次は「サイト側では領収書の準備完了」とでも言うのだろう

    • FSD みたいな Musk の他の約束のことを言っているのか?
    • 一部データを上げ始めたようだ。FPDS が何なのかは分からないが、文書が全部 OSX Aqua テーマでレンダリングされたように見える。
      多くの削減は最初は「筋が通っている」ように見えるが、「雑誌購読の削減」が実際には「Consumer Financial Protection Bureau から金融ニュースの情報源を断つこと」や「時事理解が本当に必要な人たちの信頼できるニュース購読を更新しないこと」だと分かると話は変わる。
      DEI/多様性研修の削減も多く、これは「人々に実際に親切に接すること」との戦争というより、その研修が職員により良くサービスを提供できるよう支援する対象集団を狙っているように感じる。SNAP で DEI を削るとしよう。USDA データとされる資料によれば、5つの民族集団と「人種不明」が SNAP に登録されているという。こうした支援を必要とする多様な民族的背景の人々をどう理解し、やり取りし、助けるかを訓練することを想像すればよい。
      共感と理解はこのような役割では非常に有用なスキルであり、DEI は関係するすべての人にその訓練を提供するものだと思う。右派の通念では DEI は人種差別的で白人に反対するものだが、非白人にもこの訓練が必要な場合があるという考えが抜け落ちている。DEI は違いを理解することなのに、右派はそれを「非白人を理解すること」と読み替え、別の文化について考えなければならないという事実そのものに不快感を覚えているようだ。
      もう一つの削減はジェンダー研修予算で、その研修は技術・工学関連のオフィス向けのものだった。その分野は長らく男性中心で悪名高かったのだから、こうした研修が有益なのは理解できる。テック業界で女性やクィアの人々に対して人々がどのように話し、振る舞うかを聞いてきたので、研修は必要だと思う。
      こうしたプログラムは、人々に何を考えるべきかを刷り込もうとするものではない。世界と共感的に関われない人なら、職場研修がそれを変えることはできない。だが、専門的な場でどのようにやり取りし、生産的に働くべきかは教えられる。企業ならより多くのお金を稼ぐためであり、政府ならより多くの人を助けるためだ。職員とサービスを受けるコミュニティの両方が含まれる。
      結局 Trump は自分が言った通りのことをしており、その細部は暗い
  • 素早く動いて壊す、政府版というわけ

  • DOGEはTwitterよりも「Vox Populi, Vox Dei」にさらによく当てはまる気がする

  • こんな味方がいるなら、敵なんてなぜ必要なのか?

  • あの連中を解雇して、本物のエンジニアに置き換える必要があるかもしれない
    彼らの一部はHacker Newsを読んでいるだろうから助言すると、ChatGPTは脇に置いて、自分が何をしているのかをきちんと学べ

    • 本物のエンジニアなら、妥当な報酬と勤務時間を望むだろうし、上司を生き神様と勘違いすることもないだろう
      さらには自信や道徳心まで持っているかもしれないが、それは完全に不採用理由になりそうだ
    • みんな若すぎるという点だけは、私が面接すら受けられなかった理由を説明してくれる。28歳なら、そこに就職するにはもう年を取りすぎていたということだ
    • 彼らは誠実な専門家ではなく、イデオローグ
    • 必要な人材は3つの条件を満たす必要がある:経験豊富で優秀なエンジニアであること、倫理観がないこと、そして倫理観のない経験豊富で優秀なエンジニアの市場価格より低い報酬でも満足すること
  • ここで実際に起きていることが見えないのか?「政府機関」の名前をミームコインから取って、執務室で帽子をかぶったまま、実際に座っている大統領の発言を遮っているということだ
    Elonは、わが国の制度に敬意を払っていないというシグナルを送ろうとしている。TrumpがMexicoだけ名前を変えるような些細なことをなぜしたと思う? 最も馬鹿げた権力誇示に誰が従うかを見るリトマス試験紙だ。今日、APがこの問題で屈しなかったという理由で、執務室とAF1への出入りを禁じられ、それが実行に移された。これはElonがただ暴走しているだけより、はるかに暗い話だ

    • その通り。これはネオナチによるファシスト・クーデター
    • これは9・11よりも、はるかに、はるかに悪い
      まだ1本目のタワーが崩れていないだけかもしれないし、火の玉は消え、消防士たちが階段を上っているからもうすぐ救助されると思っているだけかもしれない。だが表面下では炎が白熱しており、鋼鉄は毎分ごとにさらに熱く、さらに柔らかくなっている
      過去の政権が行ったごく小さな変化が、とてつもない予想外の結果を生んだ例は、遠くまで探す必要もない。私たちは完全に茹で上がりつつある
    • まさにそう。馬鹿げたものを作って公式だと呼び、従わなければ嘘を広めているとして締め出す。独裁入門
    • アメリカの起業家精神が被害妄想を育て、復讐を望んでいる
      保護貿易政策を実施し、税制改革より先に支出削減を押し進めて「これだけ節約した」と示したうえで、市場が上がることを期待しながら数千億ドル規模のポートフォリオを清算し、島に引退しようとするのだろう
      少なくとも、そういう理屈だ。アメリカは、CCPがアメリカの産業能力を掌中に収めており、中央計画によってアメリカのEV市場や海軍トン数を思い通りに押しのけられるという事実を認めたがっていないように見える。規制緩和がついにアメリカ問題の万能薬になるという前提があるが、それを世界貿易政策と一貫して追求することはできない。ICCに制裁を科しながら、他国に犯罪者をアメリカへ引き渡せと求めることはできないし、Human Rights Councilを捨てながら、他国にわれわれの道徳的権威を尊重しろと求めることもできない
      今後4年は、文明世界がアメリカ抜きでもやっていけることを再び証明する時間になるだろう。Trumpは海外の独裁者に媚びへつらい、残りの人々はまた別の予備選を待ちながら地団駄を踏むだけだろう。2016年式の停滞が最善のシナリオであり、幸いなのは、アメリカの主要な敵国も今かなり苦しんでいるという点だ。TrumpがNixonやReaganの時代の立場に座っていたなら、アメリカはゲームオーバーだっただろう