Lanceur d’alerte : des données d’affaires du NLRB siphonnées via DOGE

 (krebsonsecurity.com)
1 points par GN⁺ 2025-04-23 | 1 commentaires | Partager sur WhatsApp
  • Problèmes de sécurité au NLRB : Daniel J. Berulis, architecte sécurité du NLRB, affirme que des employés de DOGE ont transféré en masse des données sensibles depuis les systèmes du NLRB. L’incident est lié à des tentatives de connexion depuis des adresses IP russes
  • Transfert de données et inquiétudes de sécurité : les comptes DOGE disposaient d’un accès illimité aux bases de données du NLRB et pouvaient limiter ou supprimer les journaux. Berulis indique que ces comptes ont transféré 10 Go de données
  • Tentatives de connexion depuis des adresses IP russes : des tentatives de connexion à des comptes DOGE ont eu lieu depuis des adresses IP russes, mais elles ont été bloquées par la politique du NLRB
  • Utilisation de Microsoft Azure et GitHub : les comptes DOGE ont désactivé la journalisation dans Microsoft Azure et téléchargé des bibliothèques de code externes depuis GitHub
  • Enquête interne et arrêt du signalement externe : le NLRB a mené une enquête interne, mais a décidé de ne pas signaler l’incident à US-CERT. Berulis a décidé de rendre l’affaire publique

Problèmes de sécurité au NLRB

  • Daniel J. Berulis, architecte sécurité du NLRB, affirme que des employés de DOGE ont transféré en masse des données sensibles depuis les systèmes du NLRB
  • L’incident est lié à des tentatives de connexion depuis des adresses IP russes

Transfert de données et inquiétudes de sécurité

  • Les comptes DOGE disposaient d’un accès illimité aux bases de données du NLRB et pouvaient limiter ou supprimer les journaux
  • Berulis indique que ces comptes ont transféré 10 Go de données

Tentatives de connexion depuis des adresses IP russes

  • Des tentatives de connexion à des comptes DOGE ont eu lieu depuis des adresses IP russes, mais elles ont été bloquées par la politique du NLRB

Utilisation de Microsoft Azure et GitHub

  • Les comptes DOGE ont désactivé la journalisation dans Microsoft Azure et téléchargé des bibliothèques de code externes depuis GitHub

Enquête interne et arrêt du signalement externe

  • Le NLRB a mené une enquête interne, mais a décidé de ne pas signaler l’incident à US-CERT
  • Berulis a décidé de rendre l’affaire publique

À lire aussi

1 commentaires

 
GN⁺ 2025-04-23
Commentaires sur Hacker News

  • Cet article a un côté presque comique à la lecture

    • Il y est question d’un compte caché et de tentatives de connexion depuis la Russie
    • Berulis a essayé de soumettre un ticket au support Microsoft, mais l’accès administrateur réseau était restreint
    • Cela soulève la question de savoir pourquoi Microsoft dispose des informations de connexion et de compte d’une agence gouvernementale
    • Préférence pour un mainframe sans Windows ni accès à Internet

  • Dommage que cette histoire risque d’être supprimée comme [doublon]

    • Cette histoire a été publiée deux fois, et la première soumission est plus ancienne de 10 heures avec 3 commentaires
    • Au moment où ceci est écrit, cette histoire compte 348 commentaires
    • Si vous voulez une discussion intéressante, c’est la bonne histoire

  • Le fait qu’Edward Coristine ait été licencié de Path Network en 2022 est intéressant

    • Il a été licencié pour avoir prétendument divulgué des informations internes de l’entreprise à un concurrent
    • Il ressemble au candidat idéal pour être recruté par un service de renseignement étranger
    • Il a déjà utilisé des comptes sur un réseau social de cybercriminalité
    • On peut se demander comment cette personne a pu travailler au contact du gouvernement
    • On peut se demander pourquoi un espion russe utiliserait sa propre IP pour accéder aux ressources du gouvernement américain
    • Si le fait de se faire repérer était intentionnel, cela pourrait viser à semer la discorde

  • DOGE sera un cas d’étude intéressant à l’avenir

    • Un ami a été approché par DOGE comme contractuel 1099 pour reconstruire le système aérien national
    • Le poste était présenté comme une activité secondaire, le soir et le week-end, avec un taux horaire très bas
    • Quand l’ami a fait remarquer que la rémunération était trop faible, le recruteur a mis en avant le prestige d’avoir travaillé pour DOGE

  • Berulis a découvert qu’un des comptes DOGE avait créé un environnement virtuel opaque appelé "conteneur"

    • Le conteneur peut exécuter des programmes ou des scripts sans rendre son activité visible de l’extérieur
    • Cela attire l’attention parce qu’aucun conteneur n’avait jamais été utilisé sur le réseau du NLRB
    • C’est assez savoureux à lire

  • Il est surprenant que cette affaire ne relève pas clairement de la trahison

  • "La Russie accède à des données américaines en utilisant une IP russe"

    • On dirait que quelqu’un essaie de fabriquer un lien avec la Russie
    • Il n’y a aucune raison pour qu’un service de renseignement russe agisse de manière aussi amateur
    • Cela donne l’impression qu’ils veulent se faire repérer
    • Cui bono? (À qui profite le crime ?)

  • Quelqu’un se demande pourquoi cet article a disparu de la première page de HN

    • Il a été publié il y a 2 heures et comptait 649 points