Se dice que el denunciante federal Daniel Berulis, un arquitecto senior de DevSecops, envió la declaración jurada de la Comisión Nacional de Relaciones Laborales (NLRB) sobre la violación crítica de los datos de los DAG de los Estados Unidos.
El reclamo de denunciantes se destacó por primera vez en un hilo detallado publicado en X Today por el experto en ciberseguridad Matt Johansen. Esta divulgación es un intento de iniciar sesión utilizando la confianza de Doge utilizando una dirección IP rusa, alegando que un representante de DoGe ha accedido al sistema NLRB y ha extraído un extracto masivo de datos.
“El denunciante dijo que Doge entró, salieron los datos y los rusos comenzaron a tratar de iniciar sesión con una nueva contraseña de Doge válida”.
🧵Thread: el denunciante federal dejó caer una de las revelaciones de ciberseguridad más inquietantes que he leído.
Él dice que Dege entra y salen los datos y los rusos han comenzado a intentar iniciar sesión con una nueva contraseña válida de Doge.
La cobertura de los medios no fue lo suficientemente detallada, así que la cavé … pic.twitter.com/wy2ou16ti9
– Matt Johansen (@mattjay) 18 de abril de 2025
Acceso no autorizado a sistemas confidenciales
Según la declaración jurada del denunciante, los correos electrónicos se presentaron ante figuras clave del Congreso, incluido el senador Bill Cassidy y Bernie Sanders del Comité del Senado, y los representantes de James Comer y Gerald E. Connolly, el Comité de la Cámara de Representantes y el Comité de la Cámara para la Reforma del Gobierno, se les otorgó “Acceso de Cloud de Inquilinos”.
“Se les dio lo que llamaron cuentas de nivel de” propietario del inquilino “y se les dio un permiso esencialmente ilimitado para leer, copiar y modificar datos”. Los denunciantes se enumeran en el documento.
El denunciante también afirma que ACIO recibió una llamada diciendo que los procedimientos operativos estándar (SOP) recibieron instrucciones para no seguir con respecto a la creación de una cuenta de dux y la creación de registros.
ACIO establece específicamente que no se han creado registros o registros de cuentas para los empleados de Doge. Los funcionarios de DOGE debían otorgar el más alto nivel de acceso y acceso ilimitado a los sistemas internos.
Doge solicitó acceso a la raíz.
No es acceso al auditor. No soy un administrador.
Se les dio el privilegio del “propietario del inquilino” en Azure. Esto tiene un control total sobre la nube NLRB sobre el CIO en sí.
Esto nunca sucede. pic.twitter.com/fxaiped0dj
– Matt Johansen (@mattjay) 18 de abril de 2025
Con este nivel de acceso, excediendo el acceso del director de información de la agencia, los permisos ilimitados pudieron leer, copiar y modificar datos.
Se dice que los protocolos de seguridad están deshabilitados
El denunciante, identificado como Daniel Berulis, arquitecto senior de DevSecops en NLRB, afirmó que los funcionarios de Dege habían deshabilitado los protocolos de seguridad críticos, incluidos los mecanismos de registro, como los observadores de redes de Azure y las herramientas de monitoreo de redes.
Informes de documentos de denunciante
Berulis informó un aumento significativo en el tráfico saliente de más de 10 gigabytes del sistema de gestión de casos NXGEN NLRB. Aloja información confidencial, como actividades de organización sindicales, identidad de denunciantes de empleados y datos comerciales únicos.
La declaración jurada señaló que la transferencia de datos se produjo sin el tráfico entrante correspondiente y planteó sospechas de desprendimiento.
Intento de inicio de sesión de Rusia instantáneo
En la mayoría de los casos, Berlis afirmó que dentro de los 15 minutos de la creación de la cuenta de Doge, los atacantes rusos intentaron iniciar sesión en el sistema NLRB utilizando el nombre de usuario y la contraseña correctos para estas cuentas recién creadas.
“Ha habido más de 20 intentos de iniciar sesión así. En particular, los relacionados con las notas de denunciantes son que muchos de estos ocurrieron dentro de los 15 minutos de una cuenta creada por los ingenieros de Dogs”.
El denunciante también notó que los inicios de sesión originados en el extranjero bloquearon el aumento de los inicios de sesión debido a las políticas de acceso.
Por ejemplo, después de que Dege accedió al sistema NLRB, los usuarios con direcciones IP comenzaron a intentar iniciar sesión en Primorskiy Krai en Rusia. Estos intentos fueron bloqueados, pero eran particularmente cautelosos.
La peor afirmación en esta declaración es en mi opinión:
Dentro de los 15 minutos posteriores a la creación de su cuenta de Dogs …
El atacante ruso intentó iniciar sesión usando estos nuevos créditos.
Corrija el nombre de usuario y la contraseña.
Aquí hay dos opciones. El dispositivo dogado ha sido pirateado. Y no creo que necesite explicar el segundo. pic.twitter.com/02j1zquywl
– Matt Johansen (@mattjay) 18 de abril de 2025
El intento de inicio de sesión se bloqueó debido a las políticas de acceso basadas en la ubicación, pero el incidente sugiere una violación de un dispositivo dux o un intercambio intencional de credenciales. Además, la autenticación multifactorial (MFA) se ha deshabilitado para dispositivos móviles, reduciendo aún más la seguridad del sistema.
Alrededor del 13 de marzo de 2025, los registros de conexión del observador de red indicaron que los datos se enviaban a puntos finales externos desconocidos. El denunciante dice que el equipo de la red intentó recuperar el registro de conexión, pero no pudo hacerlo.
El 7 de marzo de 2025, el denunciante confirmó con los desarrolladores principales de los sistemas de misiones y los sistemas de administradores que no estaban utilizando “contenedores” en su trabajo de desarrollo.
El denunciante solicitó a varios usuarios privilegiados si hicieron cambios sin seguimiento en sus recursos para explicar las anomalías de reclamo.
Mientras tanto, las tasas de facturación de Azure aumentaron en un 8% por mes, pero el informe no incluía ningún recurso nuevo.
Esto fue inusual ya que el aumento del gasto generalmente corresponde a un aumento de los recursos. Un aumento en los costos sin nuevos recursos generalmente sugiere que los recursos de alto costo se crearon, utilizaron y se eliminaron rápidamente, o que los recursos existentes se cambiaron al uso de alto costo sin aprobación.
Tácticas amenazantes contra denunciantes
Mientras preparaba esta divulgación, Berlis encontró una foto de vigilancia de drones disminuida en la puerta principal en una nota amenazante.
La divulgación de denunciantes también detalló un intento de chantajear a Berlis mientras se prepara para compartir sus hallazgos. El 7 de abril de 2025, según los informes, encontró una nota amenazante con sus propias fotos de vigilancia de drones pegadas a su puerta principal.
El incidente plantea preocupaciones sobre la seguridad de los denunciantes, que plantean problemas relacionados con las actividades de Doge.
Las acusaciones provocaron una respuesta rápida de los líderes del Congreso. El informe del denunciante está dirigido a miembros prominentes del Congreso y muestra la susceptibilidad del problema y el impacto potencial en la seguridad nacional.
La NLRB negó que la violación ocurriera citando investigaciones internas, pero los reclamos de denunciantes siguen siendo fallidos, pero promueve la demanda de la investigación federal de las acciones de Doge en múltiples agencias.
La respuesta pública a X es feroz, con usuarios alarmantes sobre la posibilidad de que los enemigos extranjeros puedan aprovechar el acceso a los confidenciales sistemas federales de Dege.
La publicación vinculada al tema de tendencia “ciberseguridad en NLRB” especula las intenciones de Doge y sugiere fraude intencional y conflictos de intereses dada la participación de Elon Musk de Dogle Líder con compañías como SpaceX y Tesla que enfrentan investigaciones en curso de NLRB.
En la semana del 24 de marzo de 2025, el acio de seguridad Chris L. decidió que la actividad sospechosa garantizaría la escalada y recomendó que se reportara al Cuerto de los EE. UU., El equipo de la CISA responsable de una respuesta rápida a los incidentes cibernéticos.
El denunciante dice que el indicador de violación cumple con los umbrales para activar los procedimientos estándar para el robo de datos, lo que solicita una revisión formal. Toda la evidencia se presentó con respecto a lo que se considera que es la eliminación grave y potencialmente ilegal de la información de identificación personal a través del sistema NXGEN y las transferencias externas.
El denunciante explica que la inestabilidad estadística accidental estaba justificada con los Estados Unidos, incluso si cada evento digital parecía ser irrelevante.
El equipo lo ayudará a determinar la causa raíz y verá si la violación implica un compromiso de seguridad más amplio. La decisión del ACIO de involucrar a los usuarios de los Estados Unidos o potencialmente con el FBI se basó en el peso de la evidencia y la necesidad de recursos más allá de lo que los equipos internos podrían proporcionar.
Sin embargo, entre el 3 al 4 de abril de 2025, se instruyó a los denunciantes y ACIO para suspender los informes e investigaciones de los Estados Unidos. Se les indicó explícitamente que no avanzaran en informes oficiales o preparen informes oficiales, cerrando efectivamente las investigaciones oficiales de las actividades que sospechan.
¡Haz que esta noticia sea interesante! ¡Síganos en Google News, LinkedIn y X para obtener actualizaciones instantáneas!
