举报人：DOGE 窃取了 NLRB 案件数据

美国国家劳工关系委员会(NLRB) 的一名安全架构师声称，埃隆·马斯克 (Elon Musk )政府效率部(DOGE) 的员工在 3 月初从机构案件档案中传输了数十亿字节的敏感数据，使用的短期帐户配置为几乎不留下任何网络活动痕迹。 NLRB 举报人表示，异常的大量数据外流与俄罗斯一个互联网地址的多次登录尝试被阻止同时发生，该地址试图使用新创建的 DOGE 用户帐户的有效凭据。

这些指控是在 4 月 14 日致参议院情报特别委员会的一封信中提出的，该信由 NLRB 38 岁的安全架构师Daniel J. Berulis签署。

第一个报道Berulis 举报人投诉的NPR表示，NLRB 是一个小型独立联邦机构，负责调查和裁决有关不公平劳工行为的投诉，并存储“大量潜在敏感数据，从想要组建工会的员工的机密信息到专有商业信息”。

该投诉记录了从 3 月 3 日开始的一个月时间，据报道，在此期间 DOGE 官员要求在 NLRB 系统中创建全能的“租户管理”帐户，这些帐户将免受网络日志记录活动的影响，否则这些帐户将详细记录这些帐户所采取的所有操作。

Berulis 表示，新的 DOGE 帐户拥有不受限制的权限，可以读取、复制和更改 NLRB 数据库中包含的信息。新帐户还可以限制日志可见性、延迟保留、将日志路由到其他地方，甚至完全删除它们——这是 Berulis 和他的老板都不拥有的顶级用户权限。

Berulis 写道，3 月 3 日，一辆黑色 SUV 在警察护送下抵达他所在的大楼——位于华盛顿特区东南部的 NLRB 总部。DOGE 工作人员没有与 Berulis 或 NLRB IT 人员中的任何其他人交谈，而是会见了机构领导层。

“我们的代理首席信息官告诉我们，在创建 DOGE 帐户时不要遵守标准操作程序，并且不得为需要最高级别访问权限的 DOGE 员工创建的帐户进行任何日志或记录，”Berulis 在那次会议后写下了他们的指示。

“我们建立了审计员可以使用的角色，并且在过去已经广泛使用过，但不会赋予他们在未经批准的情况下进行更改或访问子系统的能力，”他继续说道。 “关于他们使用这些账户的建议没有经过讨论。”

Berulis 发现，3 月 3 日，DOGE 帐户之一创建了一个不透明的虚拟环境，称为“容器”，可用于构建和运行程序或脚本，而无需向世界其他地方透露其活动。 Berulis 表示，这个容器引起了他的注意，因为他对同事进行了调查，发现他们都没有在 NLRB 网络中使用过容器。

Berulis 表示，他还注意到，第二天一早（美国东部标准时间 3 月 4 日星期二大约凌晨 3 点到 4 点之间），该机构的传出流量大幅增加。他表示，与同事一起进行了几天的调查，确定其中一个新账户已从 NLRB 的NxGen案件管理系统中传输了约 10 GB 的数据。

Berulis 表示，他和他的同事都没有必要的网络访问权限来审查哪些文件被触及或转移，甚至它们去了哪里。但他的投诉指出，NxGen 数据库包含有关工会、正在进行的法律案件和公司机密的敏感信息。

“我也不知道这些数据是否总共只有 10 GB，或者它们之前是否经过整合和压缩，”Berulis 告诉参议员们。 “这开启了更多数据被泄露的可能性。无论如何，这种激增是极其不寻常的，因为数据几乎从未直接离开 NLRB 的数据库。”

Berulis 表示，当他和他的同事注意到来自俄罗斯互联网地址 (83.149.30,186) 的近两打登录尝试提供了 DOGE 员工帐户的有效登录凭据（该帐户是几分钟前创建的）时，他们变得更加震惊。 Berulis 表示，由于禁止从非美国地点登录的规定，这些尝试均被阻止。

Berulis 写道：“任何试图登录的人都使用了其他 DOGE 相关活动中使用的新创建的帐户之一，而且他们似乎拥有正确的用户名和密码，因为身份验证流程只会因为我们的禁止境外登录政策激活而阻止他们。” “此类尝试超过 20 次，特别令人担忧的是，其中许多登录尝试发生在 DOGE 工程师创建帐户后的 15 分钟内。”

据 Berulis 称，与可疑活动相关的一个微软用户帐户的命名结构表明，该帐户是为 NLRB 云系统中的 DOGE 使用而创建并随后删除的：“ [email protected] ”。他还发现了其他具有非标准用户名的新 Microsoft 云管理员帐户，包括“ Whitesox, Chicago M. ”和“ Dancehall, Jamaica R ”。

3 月 5 日，Berulis 记录称，最近创建的网络资源的大部分日志丢失，并且Microsoft Azure中的网络观察程序被设置为“关闭”状态，这意味着它不再像应有的那样收集和记录数据。

Berulis 表示，他发现有人从GitHub下载了三个外部代码库，NLRB 及其承包商都从未使用过这些代码库。其中一个代码包中的“自述”文件解释说，它的创建是为了通过大量云互联网地址轮换连接，这些地址“作为代理来生成用于网络抓取和暴力破解的伪无限 IP”。暴力攻击涉及自动登录尝试，快速尝试多种凭据组合。

投诉称，到 3 月 17 日，NLRB 显然不再拥有全面调查 DOGE 帐户的奇怪活动所需的资源或网络访问权限，并且 3 月 24 日，该机构的副首席信息官同意将此事报告给US-CERT 。 US-CERT 由国土安全部网络安全和基础设施安全局(CISA) 运营，为联邦和州机构提供现场网络事件响应能力。

但 Berulis 表示，4 月 3 日至 4 日期间，他和副 CIO 被告知“已下达指示，要求放弃 US-CERT 的报告和调查，并指示我们不要继续推进或创建正式报告。”贝鲁利斯表示，此时他决定公开他的发现。

NLRB 代理新闻秘书Tim Bearese告诉 NPR，DOGE 既没有请求也没有接受访问其系统的权限，并且“在 Berulis 提出担忧后，该机构进行了调查，但‘确定没有发生违反机构系统的情况’。”NLRB 没有回应 KrebsOnSecurity 的问题。

尽管如此，Berulis 分享了一些支持性屏幕截图，显示了机构电子邮件讨论有关 DOGE 帐户的无法解释的帐户活动的情况，以及来自 Microsoft 的关于在所述时间范围内观察到的网络异常的 NLRB 安全警报。

正如美国有线电视新闻网 (CNN)上个月报道的那样，自特朗普总统解雇三名董事会成员以来，国家关系委员会实际上已陷入困境，导致该机构失去了运作所需的法定人数。

美国有线电视新闻网 (CNN) 写道：“尽管存在局限性，该机构已成为美国一些最富有和最有权势的人的眼中钉，尤其是特朗普在经济上和政治上的主要支持者埃隆·马斯克(Elon Musk)。”

亚马逊和马斯克旗下的SpaceX一直在起诉NLRB，理由是 NLRB 就工人权利和工会组织纠纷提出投诉，认为 NLRB 的存在本身就是违宪的。 3 月 5 日，美国上诉法院一致驳回马斯克关于 NLRB 结构在某种程度上违反宪法的主张。

Berulis 与 KrebsOnSecurity 分享了屏幕截图，显示在 NPR 发表有关他的说法的当天（4 月 14 日），NLRB 的副 CIO 发送了一封电子邮件，表示所有员工帐户的管理控制已被删除。 Berulis 说，这意味着突然间该机构的 IT 员工都无法正常工作了。

Berulis 分享了 NLRB 主任Lasharn Hamilton于 4 月 16 日发来的一封全机构电子邮件的屏幕截图，称 DOGE 官员已要求召开会议，并重申该机构之前与任何 DOGE 人员没有“官方”接触。该消息告知 NLRB 员工，两名 DOGE 代表将被派往该机构兼职几个月。

Berulis 告诉 KrebsOnSecurity，当他的网络管理员访问权限受到限制时，他正在向 Microsoft 提交支持票，以请求有关 DOGE 帐户的更多信息。现在，他希望立法者要求微软提供更多有关这些帐户的真实情况的信息。

“这会让我们有更多的洞察力，”他说。 “微软必须能够比我们更好地了解情况。无论如何，这就是我的目标。”

贝鲁利斯的律师告诉立法者，4 月 7 日，当他的当事人和法律团队准备举报人投诉时，有人在贝鲁利斯先生的家门上贴了一张威胁纸条，上面贴着他在附近散步的照片（通过无人机拍摄）。

“威胁性的字条明确提到了他作为适当的监督机构为您准备的这一披露，”贝鲁利斯的律师安德鲁·P·巴卡伊 (Andrew P. Bakaj)在序言中写道。 “虽然我们不知道具体是谁干的，但我们只能推测，这涉及有能力访问 NLRB 系统的人。”

贝鲁利斯表示，朋友、同事甚至公众的反应基本上都是支持的，他并不后悔自己挺身而出的决定。

“我没想到我的门上会收到这封信，也没有想到[机构]领导人的反对，”他说。 “如果我必须重来一次，我会再做一次吗？是的，因为第一次根本就不是一个选择。”

目前，贝鲁利斯先生正在从 NLRB 休一些带薪家庭假。他说，考虑到他被剥夺了在该机构工作所需的工具，这也没关系。

贝鲁利斯谈到 DOGE 员工时说：“他们进来并采取了全面的行政控制，并将所有人拒之门外，并表示今后将根据需要分配有限的许可。” “我们真的无能为力，所以我们实际上是靠数天花板瓷砖来获得报酬的。”

进一步阅读： Berulis 的投诉(PDF)。

原文： https://krebsonsecurity.com/2025/04/whistleblower-doge-siphoned-nlrb-case-data/