本文由“美国华人杂谈”和非营利调查新闻编辑室“Information Justice(信息正义)”共同策划、联合发表。欢迎转载、分享、转发。
马斯克离开了白宫,但他曾经领导的“政府效率部”(Department of Government Efficiency,DOGE)并没有消失。
这里的没有消失有两层意思。一层是 DOGE 还在运作,继续做 DOGE 试图做的事情(不一定是其公开声称的事情)。另一层是,我们不知道 DOGE 究竟做了多少鬼,更不知道它是否在政府部门留下了定时炸弹。
是的,我们有理由怀疑 DOGE 有可能埋设了定时炸弹。
DOGE 在 NLRB 的奇怪行为使贝鲁里斯成为举报人
全国劳资关系委员会(National Labor Relations Board, NLRB)是一个独立的小型联邦机构,负责调查和裁决有关不公平劳动行为的投诉。
贝鲁里斯的举报叙述得到了内部文件的证实,并由其他政府机构和私营部门的 11 位技术专家进行了审查。除了消化了贝鲁里斯的举报材料外,NPR 总共采访了 30 多位政府、私营部门、劳工运动、网络安全和执法部门的消息人士,他们就 DOGE 和川普政府对敏感数据可能的处理方式以及数据曝光的影响表达了自己的担忧。
贝鲁里斯在接受 NPR 采访时说:“我无法证明他们的最终目标是什么,也不知道他们在用这些数据做什么。但我可以告诉你,我能够量化的部分拼图是可怕的……我们看到的是一幅非常糟糕的图片。”
本文的内容基本上来自 NPR 的报道。
DOGE 要求 NLRB 数据库系统的最高权限
NPR 对这件事情的报道中用了一个非常形象、贴切的比喻:NLRB 数据库就好像一个邮局,邮局有很多很多邮箱,每个邮箱有自己的地址和钥匙。一般,分管不同工作的人能够进入不同的邮箱,各司其职。系统管理人员就好像邮局工作人员。
用这个概念来理解,只有邮箱的主人可以看自己邮箱的邮件,邮局工作人员虽然有打开所有邮箱的钥匙,但《隐私法》阻止他们阅读、复制和拿走任何邮件。
DOGE 团队成员一到 NLRB 就要求进入数据库,并要求最高权限。
诡秘的是,NLRB 的 IT 成员注意到,DOGE 人员拿到最高权限进入系统后,大量数据被移出系统。用那个邮局的比喻来看,作为邮局工作人员的 DOGE 成员,不仅访问了具体邮箱,而且在移走邮件。这不是邮局员工的正常行为。
伴随着这种不正常行为的还有非常奇怪的现象:在 DOGE 进入 NLRB 系统几分钟后,一个 IP 地址在俄罗斯的人就开始尝试登录,使用的是一个新创建的 DOGE 账户,而且此人有正确的用户名和密码。虽然该账号的尝试都被阻止了,但这种情况给人带来的震惊是巨大的。
DOGE 员工做了鬼还试图抹去他们的活动记录
说起来 DOGE 员工都是有经验的 IT 人员,对 IT 系统,包括数据库系统的操作规则应该有专业的概念。但是,他们反常规的程度可以说超出了任何 IT 行业人士的想象。
根据披露的信息和内部通信记录,DOGE 团队成员要求不在系统上记录他们的活动,然后似乎试图掩盖他们活动的任何痕迹——他们关闭监控工具并手动删除他们的访问记录。
一个设计合格的数据库,任何一个操作应该都可以还原,哪怕在后台操作也会留下完整的审核记录,包括谁做了改动,什么时候改的,改动之前和之后的内容分别是什么等等。一个系统也是,谁进入过系统,大致做了什么,系统都会自动记录产生日志。关闭监控工具就是抹去或彻底废除系统的日志记录。
对于网络安全专业人士来说,不记录系统内的活动是原则错误,与美国国家标准与技术研究院、国土安全部网络安全和基础设施安全局、联邦调查局和国家安全局推荐的最佳实践相悖。贝鲁里斯说:“这是一个巨大的危险信号。这是你无论如何不能做的事情。它违反了所有安全和最佳实践的核心理念。”接受 NPR 采访的几位网络安全专家将这种规避行为比作犯罪分子或国家支持的黑客可能会做的事情。
如果我也来个比喻的话,DOGE 成员所做的就是银行职员试图偷钱的行为。首先,他们通过系统偷钱至某个账号,然后再设法把偷钱这个“动作”从系统里删除。用常识想一想,要删除偷钱的动作会需要怎样的权限?这是银行系统任何人都不该有的权限,或者说,是任何有此权限的人都不能做的动作。
更糟糕的是,他们关闭了监控工具并手动删除他们的访问记录后,没有人知道他们到底干了什么,包括不知道他们是不是为自己留下一条通道,以便将来随时回来访问。这就等于他们将来还能回来偷邮局或偷钱。
知道为什么不能随便授予最高权限了吧?
DOGE 成员是否为自己留了一个“后门”?
DOGE 成员之一、麻省理工学院毕业生乔丹·维克(Jordan Wick)一直在 GitHub(一个允许开发人员创建、存储和协作代码的网站)的公共账户上分享他正在进行的编码项目信息。DOGE 进入 NLRB 系统后没几天,贝鲁里斯在周末浏览互联网时看到了一件令他震惊的事情。
2 月 28 日,《野兽日报》的资深政治记者罗杰·索伦伯格(Roger Sollenberger)在 X 上发布了关于维克 GitHub 账户的一些信息(上图):新消息:从本周起,DOGE 的一名员工似乎开始在自己的 GitHub 公共主页上发布 DOGE 的工作成果。这位名叫乔丹·维克的员工三天前还创建了一个 Twitter DM 下载工具的存储库。
贝鲁里斯发现维克正在做的是一个名为 NxGenBdoorExtract 的项目或资源库。在贝鲁里斯进一步调查之前,维克就将该项目设为私密了。但对贝鲁里斯来说,标题本身就很说明问题。
这是丹尼尔·贝鲁里斯提供的 DOGE 成员乔丹·维克 GitHub 公共账户的一个截图,截图下方红框内 “NxGenBdoorExtract” 这个名字本身就表明,维克可能在设计一个后门,或称 “Bdoor”,以便从 NLRB 的内部案件管理系统中提取文件。
NxGen 是专门为 NLRB 设计的一个内部系统。虽然 NLRB 的许多记录最终都会公开,但 NxGen 案件管理系统不同,因为其中包含了来自企业竞争对手的专有数据、工会成员或投票加入工会的员工的个人信息,以及正在审理的案件中的证人证词。对这些数据的访问受到包括《隐私法》在内的众多联邦法律的保护。
虽然 NPR 无法恢复维克项目的代码,但根据审查过贝鲁里斯结论的几位网络安全专家的说法,这个名称本身就表明维克可能在设计一个“后门”,Bdoor 代表了 backdoor(后门),其项目全称 NxGenBdoorExtract 的意思就是用于从 NxGen 中提取文件的后门。
贝鲁里斯说他看见这个工具时立刻就慌了。他立即通知了整个团队。他告诉 NPR 说:“移除日志记录和[获取]用户级访问权限的整个做法是最令我不安的部分。”
芝加哥大学哈里斯公共政策学院网络政策倡议执行主任、白宫前代理首席国家网络副主任杰克·布劳恩(Jake Braun)说:“如果不了解这个故事的背景,任何合格的(首席信息安全官)看到这样的网络活动,都会认为这是来自对手国家的攻击。”
试图拼凑出原图
DOGE 成员在 NLRB 只呆了大概一周,他们在离开前删除了他们的账户。DOGE 离开后,贝鲁里斯试图拼凑出其成员的所作所为。
贝鲁里斯说,他能做的相当有限,监控工具被关闭自然是重要原因,同时也因为 NLRB 的系统在检测内部威胁或机构内部潜在恶意行为方面并不先进。他解释说:“作为一个机构,我们还没有发展到能够应对这些威胁的程度。我们一直在针对的是外部的[不良行为者]。”
但他还是能够发现一些 DOGE 的活动痕迹,比如,DOGE 利用获得的权限自行创建了能进入托管微软的 NLRB 云系统的账号,后来又将其删除。又比如,DOGE 工程师安装了所谓的“container”,这是一种不透明的虚拟计算机,可以在一台机器上隐形运行程序——不会向网络的其他部分泄露其活动。就其本身而言,这并不可疑,但它确实能让工程师们在隐形中工作,而且一旦被移除,也不会留下任何活动痕迹。
贝鲁里斯还注意到,一名身份不明的用户导出了一份“用户名册”,该文件包含曾与 NLRB 合作的外部律师的联系信息。
当贝鲁里斯开始追踪敏感数据时,他发现一些敏感数据离开了它们应该存在的地方。他说,首先,他看到一大块数据离开 NxGen 案件管理系统的“核心”,离开 NxGen 这个系统,然后,离开 NLRB 系统的出站流量激增(见下面贝鲁里斯提供给官方的代表有大量数据被送出系统之外的高峰的截图)。
图源:Whistleblower Aid贝鲁里斯解释说,无论如何,这种峰值是极不寻常的,因为数据几乎从不直接从 NLRB 的数据库中流出。他还证实,在那一周,NLRB 没有任何人保存备份文件或为任何项目迁移数据。
当贝鲁里斯和他的同事调查这个峰值时,发现用于监控系统出站流量的日志并不存在。网络上采取的一些行动,包括数据外渗,找不到任何归属人——除了一个“被删除的账户”。贝鲁里斯说:“没人知道是谁删除了日志,也没人知道日志是如何丢失的。”
被转移数据的量也令人震惊,占据 NLRB 系统总数据中相当大的一部分。贝鲁里斯说,从他所看到的情况来看,转移的数据几乎都是文本文件,加起来大约有 10 千兆字节,如果有人打印出来,相当于一整摞百科全书。目前还不清楚哪些文件被复制和删除,或者它们是否被合并和压缩,这可能意味着有更多的数据外泄。根据披露的信息,DOGE 也有可能在 NLRB 的系统中运行查询来寻找特定文件,并只拿走了它要找的东西。
另一个发现是,在 DOGE 拥有访问权限期间,有人查看了 NXGEN 的邮箱,复制了大量邮件,并神不知鬼不觉地带走了一堆邮件。
NLRB 的工程师们还有一个极大的担忧:DOGE 的工作人员坚持不记录他们的活动,这样他们就可以探查 NLRB 的系统,在不被发现的情况下发现有关潜在安全缺陷或漏洞的信息,以备将来之用——又回到了 DOGE 成员是否为自己留下了“后门”的问题。
总之,NLRB 的技术人员越来越担心 NLRB 的机密数据可能会被泄露,尤其是在他们开始检测到来自俄罗斯 IP 地址的可疑登录尝试之后。最终,IT 部门启动了一项正式审查,认为存在严重、持续的安全漏洞,或有非法删除个人身份信息的可能。
举报人受到人身威胁
尽管 NLRB 内部进行了调查,但贝鲁里斯认为,这些可疑活动值得拥有更多资源的机构,如网络安全和基础设施安全局(CISA)或联邦调查局(FBI),进行进一步调查。就在他准备申请援助之际,他们的调查工作在没有任何解释的情况下被中断了。这让贝鲁里斯深感不安,他认为自己需要帮助,以弄清事情的真相,并确定有哪些新漏洞可能会因此被利用。
几天后,贝鲁里斯发现他的门上贴着一封装在信封里的打印信,其中包括威胁性语言、敏感的个人信息和他遛狗的俯拍照片,这些照片似乎是用无人机拍摄的。不清楚是谁寄来的信,但信中特别提到了他报告漏洞的决定。执法部门对这封威胁信进行了调查,4 月份 NPR 发表这个报道时,还没有调查结果。
贝鲁里斯的律师安德鲁·巴卡伊(Andrew Bakaj)在发给 NPR 的一份声明中写道:“如果说那些潜在的信息披露还不够令人警醒,那么对我的委托人进行有针对性的人身恐吓和监视就绝对令人担忧了。如果贝鲁里斯先生遭遇了这种情况,那么其他人也很可能会遭遇这种情况,这将使我们的国家更接近独裁政权,而不是开放和自由的民主国家。现在是每个人——尤其是国会——承认事实并阻止我们的民主、自由和自主逐渐消失的时候了,这需要几代人的努力才能修复。”
调查受阻和受到人身威胁,非但没能吓倒贝鲁里斯,反倒成为他公开站出来做吹哨人的部分动力。他认为人们应该知道政府的数据和计算机系统面临着怎样的风险,以防止进一步的损害。他说,是否把自己的担忧说出来,“在目前情况下已经成为一种道德义务了。在我 20 年的 IT 工作中,从来没有遇到过这种情况。”他还说,作为一名前 IT 顾问,如果他也像 DOGE 的人那样操作,早就被解雇了。
贝鲁里斯仍然希望联邦政府能够进一步调查敏感数据处理不当的问题。他说:“我发自内心地相信,这远远不只是个案数据的问题。我知道其他机构也有类似的行为。我坚信,这种情况可能在其他机构发生得更多。”
他希望为其他类似位置的人提供一个路线图:“我向国会披露信息的目的根本不是要把注意力集中在我身上,而是要向他们提供他们可能不一定掌握的信息,即除非你知道该从哪里寻找,否则你不一定会注意到的东西。”
贝鲁里斯对 DOGE 的工程师们提出了一个简单的要求:“要透明。如果你们没有什么可隐瞒的,就不要删除日志,不要遮遮掩掩……要开放,因为这才是效率的真谛。如果这是一个巨大的误会,那就证明给大家看。把一切都公开,这就是我所要求的。”
NLRB 表示,它将配合因贝鲁里斯向国会披露信息而进行的任何调查。
NLRB 数据被转移或暴露隐患极大
NLRB 的数据可能包括有关工会的敏感信息、正在审理的法律案件和公司机密——四位劳动法专家告诉 NPR,这些数据属于几乎永远不应该离开 NLRB 的那种,而且与提高政府效率或削减开支毫无关系。
曾与 NLRB 合作或在该委员会工作过的劳动法专家在接受 NPR 采访时解释说,即使像律师或监察长这样的外部人员被授予系统访客账户,也只是为了查看与他们的案件或调查相关的文件。
曾在 2013 年至 2017 年担任 NLRB 总法律顾问的理查德·格里芬(Richard Griffin)在接受 NPR 采访时说:“任何机密和审议信息都不应该离开该机构。”他还说:“这是让人良心不安的事情。如果司法部特工捕获并删除了案件档案,就可能构成违反《隐私法》的行为。”
接受 NPR 采访的劳动法专家担心,如果这些数据被泄露出去,可能会被滥用,包括被在该机构有案件的私营公司滥用,这些公司可能会了解到极其不利的证词、工会领导层、法律策略和竞争对手的内部数据。他们说,这还可能会恐吓到那些潜在的揭露不公平劳动行为的举报人,并会影响 NLRB 独立性的信誉。
劳动法专家尤其关注他们所描述的明显的利益冲突,特别是涉及马斯克、他的公司以及他庞大的前雇员和盟友网络时。马斯克目前就与 NLRB 有好几起案子,其中一个是,在一群 SpaceX 前员工向 NLRB 提出申诉后,代表 SpaceX 的律师(其中一些人最近受雇于政府部门)对 NLRB 提起诉讼。
哈佛大学法学院劳工与公正经济中心(Center for Labor and a Just Economy)执行主任、前 NLRB 董事会成员莎伦·布洛克(Sharon Block)和其他接受 NPR 采访的劳动法专家表示,DOGE 成员和马斯克在联邦政府任职的前同事都未能向公众或法院保证,他们已经采取了适当的预防措施来保护他们所获取的数据,他们的私人商业利益不会影响数据的使用或政策的制定。
布洛克说:“这已经不是一个普通人获得了普通人不该获得的信息。如果他们真的得到了所有信息,那么他就掌握了政府针对他立案的信息。不管他们承认与否,DOGE 的负责人都是正在接受调查和起诉的人。这令人难以置信。”
马斯克的公司 xAI 也可以通过吸取 DOGE 收集到的所有数据来训练自己的算法——著名密码学家、哈佛肯尼迪学院兼职讲师布鲁斯·施奈尔(Bruce Schneier)等网络安全专家在接受 NPR 采访和书面发言时都详细指出了这一问题。
两位未被授权公开谈论其工作场所情况的联邦政府消息人士与 NPR 分享了电子邮件文件,他们的管理人员一直在警告员工,他们的数据可能会受到人工智能的审查,尤其是他们对马斯克发起活动的电子邮件回复,该活动要求联邦雇员每周一用五个要点详细说明“他们上周做了什么”。
鉴于这一点,加州大学伯克利分校专门研究劳动和信息技术的名誉教授哈雷·沙肯(Harley Shaiken)说:“几个 DOGE 人员偷偷向马斯克或与他关系密切的人透露一些[数据]并不是凭空想象。”
今年 2 月辞去消费者金融保护局(CFPB)首席技术官一职的伊利·迈耶(Erie Meyer)是最早就 DOGE 访问敏感数据一事公开发表言论的人之一。她在正在进行的有关 DOGE 系统授权的法庭案件中提供了证词,并接受了 NPR 的采访。消费者金融保护局拥有敏感且可能影响市场的数据。迈耶说,DOGE 的员工授予自己对 CFPB 系统的“上帝级”访问权限,关闭了审计和事件日志,并让负责内部威胁检测的网络安全专家休行政假。当 CFPB 的 IT 专家计划对 DOGE 的活动给出一个“事后”报告时,却被阻止。
当她听说 DOGE 工程师是如何在 NLRB 开展工作的,尤其是他们采取了哪些措施来掩盖自己的活动时,她发现其模式是一模一样的。当听说 NLRB 的数据可能被曝光时,迈耶说:“我浑身都在颤抖。他们可以得到每一份举报人的证词、每一份报告,所有的一切。这可不是什么好事。”
