Deep Dive
Shownotes Transcript
美国国家公共电台(NPR)网络安全记者珍娜·麦克劳克林最近报道了一个关于联邦政府内部举报人的故事,该举报人称DOGE的代表似乎窃取了敏感数据,然后掩盖了他们的行踪。丹尼尔·贝鲁利斯在国家劳资关系委员会工作,他分享了证据,证明DOGE的工程师禁用了安全协议,导出了大量敏感数据,并使用了“黑客工具包”来隐藏他们的活动。他认为他的机构并非孤例。本周日的故事节目将探讨这次可能的泄露事件可能对数百万美国人的私人数据意味着什么。了解更多关于赞助商信息选择:podcastchoices.com/adchoicesNPR隐私政策</context> <raw_text>0 我是阿耶莎·罗斯科,这是来自Up First的周日故事。今天,我们有一个大新闻。最近,NPR记者珍娜·麦克劳克林报道了一个关于联邦政府内部举报人的重大新闻。他的名字是丹尼尔·巴鲁利斯,对他来说,这一切都始于二月底的一个星期五。我清楚地记得那一刻。我当时在家,接到老板的电话,说:嘿,
我的老板想让我们下周来上班。DOGE可能会出现。星期一,他看到一辆黑色SUV在华盛顿特区的办公室停车场驶入,并有警车护送。丹尼尔没有与SUV里的任何人交谈,但他认为那是政府效率部门(DOGE)的成员。
他一直在听说DOGE带着警车护送在城里出现。根据他与老板的谈话,他预计他们那天会到达。他们不想与我们这些管理员互动。他们想要访问云系统。这就是他们来这里的目的。他们获得了访问云系统的权限。这是贝鲁利斯的全部工作,保护他所在机构云中的敏感数据。
他在国家劳资关系委员会(NLRB)工作,这是一个小型独立的联邦机构,负责执行法律,保护人们免受不公平的劳动行为的侵害,例如当公司想要非法惩罚组织工会的工人时。DOGE团队到达后,巴鲁拉看到一个又一个危险信号,表明NLRB的敏感数据面临风险。
这让他害怕到站出来成为举报人。他向国会提交了举报,并联系了NPR的珍娜。布鲁斯的报道让我们罕见地了解了DOGE在这个机构,也许还有许多其他机构内部所做的事情。以及这对数百万美国人的敏感数据意味着什么。
珍娜·麦克劳克林从事网络安全报道已有十多年了。史蒂芬·福勒也和我们在一起。他一直关注特朗普总统领导下联邦政府重组的大局。珍娜和史蒂芬,非常感谢你们的到来。谢谢。感谢你们的邀请。那么,请告诉我一些关于这位在NLRB的举报人的信息。他是什么样的人?是的,我很幸运能与巴鲁利斯进行长时间的交谈。
他甚至做了笔记。我有我的时间线,我的手写笔记。在我们开始之前,让我把它拿出来。并了解了他更多的情况以及他的想法。让我们从你介绍你自己开始吧。当然。请告诉我一些关于你的情况。我的名字是丹尼尔。在他16岁的时候,他收到了生日礼物——一台电脑,而不是一辆车。他只是把它拆开看看它是如何工作的,然后又把它组装起来。我爱上了它。我找到了第一个可以玩的游戏,然后它坏了。然后我通过……
学习关于硬件工作原理的每一个细节,哪些部件坏了,哪些部件在做什么来修复它。事实上,他用旧货店里的电子产品做了同样的事情。他会买收音机然后把它们拆开。他甚至说,他曾经在摆弄电子产品时差点触电。我的业余爱好是喜欢了解事物的工作原理。
他在这个领域工作了很多年。在进入政府之前,他是一名技术顾问。他实际上是一名专门从事公司系统审计的专家。所以,DOGE试图做的事情,正是布鲁利斯的工作。
他说他决定加入NLRB是因为他对公共服务非常感兴趣。他过去做过志愿消防员。他曾在强奸危机热线工作过。但他想利用他的技术技能做更多的事情。我工作的机构有一个非常具体的使命。他们确实是弱势和弱势群体的代言人。
因此,他在NLRB的工作是专门保护基于云的系统。他加强了谁可以访问这些系统,并帮助阻止攻击者。
所以丹尼尔·巴鲁拉斯在网络安全领域工作了很长时间。请你带我了解一下,当DOGE团队访问NLRB系统时,他看到了什么。所以,通常情况下,任何使用这些系统的人,一旦他们创建了一个帐户,就会提交一张工单。你可以跟踪一下该帐户正在做什么。但是当DOGE的工作人员进来时,巴鲁拉斯说他的同事被要求不要跟踪任何东西,就好像他们从未在那里出现过一样。
给出的指示非常具体,那就是不要记录帐户,不要记录访问,不要妨碍我们。不记录日志的请求有多不寻常?这种情况经常发生吗?或者是否存在不记录日志的特殊情况?这很不寻常。我为这个故事采访的每一位专家,超过10个人都说,不。
如果你正在做合法的活动,绝对没有理由不希望你的活动被记录下来,因为至少它允许你进行故障排除,修复完全良性的错误。如果存在潜在的漏洞或对网络安全问题的担忧,它会给你很多关于哪些系统受到影响、发生了什么、哪些用户参与其中的线索等等。
所以,是的,这极其成问题。它确实给巴鲁利斯敲响了警钟。给某人一个全局管理员帐户而不记录或不跟踪他们的活动或访问,这就是掌握了王国的钥匙。我现在要闭上眼睛,相信你。这是你绝对不应该做的事情。它违反了安全和最佳实践的每一个核心概念。
重要的是,当我们要求NLRB就此事发表评论时,他们表示他们没有DOGE访问的官方记录,他们从未授权DOGE访问他们的系统,DOGE从未请求访问。当然,这与布鲁利斯的正式披露相矛盾,以及NPR看到的内部沟通记录和我们一直在查看的法证证据。
这次首次访问和不记录访问请求很可能是在高级领导不知情的情况下进行的,他们对此并不知情。史蒂芬,帮我们稍微放大一点,把这一切放在背景中来看。这与联邦政府过去的操作方式有何不同?
所以我想谈谈的一件大事是《隐私法》。它于1974年通过,这是挑战DOGE访问的许多诉讼的基石。
国会50年前就决定,政府不应该存在这种所谓的“上帝模式”,也不应该允许一个人或一小群人能够访问联邦政府保存的关于某人的几乎所有信息。我的意思是,有社会安全号码、就业信息、移民信息、银行账户。我想让人们意识到的是,
我们委托给联邦政府和联邦机构的数据如此之多,单独来看并没有那么重要。但现在,与DOGE有关联的人可以访问这些信息,还可以访问社会保障管理局和你的社会安全号码以及任何报表和福利。
因此,即使他们不那样使用它,我们现在也处于这样一种境地:少数人可以建立关于人们的档案,并用它做谁也不知道的事情。这引起了跨意识形态领域人们对隐私的担忧。
所以DOGE现在在NLRB内部工作,几乎没有监督。接下来会发生什么?是的,阿耶莎。所以,在最初的几天里,贝鲁利斯继续像往常一样工作。他周末回家,然后他注意到这位政治记者罗杰·苏伦伯格在推特上发布了关于DOGE的一位工程师及其公共GitHub页面的信息。
所以基本上,这是一个你可以托管编码项目、与项目中的其他人协作的地方。他注意到一个项目在他能够弄清楚它是什么之前就被删除或设为了私有。但名字非常有趣。该项目的名称是NXGen B-Door Extract。NXGen是专门为NLRB内部设计的内部系统名称,是专门为他们构建的。由于这个名字,贝鲁利斯吓坏了。
这是什么文件?他看到了什么?是的,我与之交谈过的每一个人都立刻倒吸一口凉气。他们对有人竟然这样命名感到震惊。因为B-Door这个名字本质上意味着你正在构建一个后门或一种未经授权进入系统的方法。一种可能提取信息的方法。当我看到这个工具时,我立刻就慌了。嗯哼。
只是因为找不到更好的词语,我有点发脾气,说,哇,哇,哇。所以需要明确的是,我们无法恢复该项目的代码。如果没有看到该代码的详细信息,我们就无法知道该程序到底在做什么。但是,你知道,即使不知道它是什么时候创建的或使用频率如何,它的真正重要性在于它让布鲁利斯感到担忧。那时,他的真正恐惧开始升级。为什么这让他如此害怕?
主要是因为他非常害怕NLRB内部的数据泄露,特别是存在于极其敏感的内部系统——案件管理系统中的数据。那里保存着所有正在进行的NLRB调查的案件文件。所以,阿耶莎,这里有一些NLRB拥有的数据类型。
关于工会成员或投票加入工会的雇员的个人信息。它包含正在进行的案件中的证词。它列出了工会组织者和领导。而且,你知道,即使有可能这些信息落入坏人之手,我们也与许多劳动法专家交谈过,他们说这可能会产生寒蝉效应。如果人们觉得这些信息不会安全,这可能会吓唬他们不敢组建工会,不敢向NLRB反映问题或作证。
但是,你知道,即使你不是工会的忠实粉丝,这个机构也拥有敏感的商业信息。公司有时会配合调查,无论是对潜在商业秘密的调查还是类似的事情。因此,公司可能会分享很多关于他们内部运作的信息,他们也不希望这些信息被泄露。对。
所以请帮我理解这里真正面临的风险是什么。这到底会带来什么后果?我认为,首先,如果有人拥有这些数据,他们可以使用它来创建工会组织者的黑名单,解雇很多人,针对参与工会活动的个人采取骚扰和恐吓策略。
它甚至可以使公司在与NLRB进行的持续法律斗争中获得优势。如果你了解对方律师的笔记,你可能会想出一个相当好的回应。与此同时,外国对手或犯罪黑客也可能对这些数据非常感兴趣。他们可能会将其作为赎金。他们可能会更多地了解其竞争对手的业务或创新。
而且,这些数据也可能与史蒂芬一直在谈论的其他敏感数据来源相结合,以建立关于美国公民的更大档案。
史蒂芬,你一直在报道DOGE的总体情况。这位举报人的投诉如何与DOGE顾问在整个联邦政府中所做的事情的更大故事相符?国家劳资关系委员会只是联邦政府内部的一个小部分。
但由于这位举报人以及十多起诉讼,我们对DOGE在做什么以及如何做有了最详细的了解。这些是我正在跟踪的联邦法院案件,以及少数几个机构对DOGE如何访问那里的敏感数据以及他们甚至能够访问数据这一事实提出质疑。
单独来看,这些案件描绘了关于员工1访问数据库1等等的孤立画面。但我们将所有这些都整合在一起,发现一小部分DOGE工作人员可以访问所有这些机构的几乎所有信息,这些机构控制着数百万甚至数百万美国人的大量数据。
回来后,举报人本人成为秘密监视和威胁的目标。
此消息来自ICF,人工智能驱动的工具和技术推动政府和行业的效率、成果和任务成功。ICF的数据驱动解决方案加快交付速度,快速跟踪结果,并帮助您充满信心地前进。体验先进技术和专家洞察力的强大功能。让我们构建一个人工智能就绪的未来。从ICF.com开始。网址是ICF.com。
在Planet Money播客的Indicator节目中,我们将帮助您了解特朗普关税的经济新闻。在博弈论中,这被称为触发策略,有时也称为严厉触发,这有点像牛仔式的称呼。关于主权财富基金究竟是什么。为了获得每天的见解,请收听NPR的Planet Money播客的Indicator节目。
如今,新闻很多。很难跟上它对您、您的家人和您的社区意味着什么。NPR的Consider This播客可以帮助您理解新闻。我们每周六天都会深入探讨一个故事,并提供您理解我们快速变化的世界所需的背景、背景故事和分析。收听NPR的Consider This播客。
我们又回到了Up First的周日故事节目。我们正在与记者珍娜·麦克劳克林和史蒂芬·福勒谈论他们与国家劳资关系委员会(NLRB)的一位举报人交谈后,广泛报道的一个重大新闻。
那么,DOGE获得对这些系统的访问权限的后果是什么?DOGE留下了哪些漏洞?
所以,贝鲁利斯无法确定,但他有理由相信存在潜在的恶意活动。根据他的披露,有多次来自俄罗斯IP地址的登录尝试,该地址使用了DOGE似乎创建的新凭据。
所以,阿耶莎,这件事发生在新帐户创建后的几分钟内。由于所有这些,专家告诉我,他们可以看到DOGE可能已被入侵的可能性。我和拉斯·汉多夫谈过。他是一位前联邦调查局网络专家。他说,恶意网络行为者,无论是罪犯还是为俄罗斯和中国工作的黑客,都可能非常有兴趣进入NLRB系统。原因有几个。
首先,我们已经听到美国政府官员多年来一直在发出警告,警告窃取美国知识产权以使他们自己的行业和公司受益。它也可能具有敲诈价值或用于勒索赎金。但问题是,这个云帐户可能与其他政府系统相连。汉多夫说,这可能是黑客从NLRB跳到其他地方的一种方式。史蒂芬,是的。
你前面提到,DOGE没有理由为了他们所说的任务(处理浪费、欺诈和滥用)而访问NLRB的数据。那么他们为什么还要收集这些数据呢?是的,值得一提的是,在DOGE访问过数据的许多机构中,都存在理解他们为什么要访问这些数据的理由。
例如,在社会保障管理局,他们正在查看数据,试图寻找证据,证明有些人收到了不应该获得的福利。这与这种情况完全不同。它可以用于商业目的,特别是如果你埃隆·马斯克。
他的公司在NLRB面前有多起正在审理的案件。例如,一群前SpaceX员工对马斯克提出了投诉。马斯克和SpaceX是提起诉讼的一组公司的一部分,他们说NLRB本身是不合法的。
因此,理论上,如果这些数据是由与DOGE有关联的人获取并交给埃隆·马斯克的,他就可以访问关于针对其公司的这些案件的敏感信息,用于针对律师、证人或案件中的其他人。此外,还有关于他的竞争对手的信息。我的意思是,还有多家竞争对手也在NLRB面前有案件,并且
涉及商业秘密或其他公司内部运作。
我还想让人们考虑一下数据抓取的可能性。关于马斯克、DOGE以及使用人工智能程序(例如XAI和Grok)的报道很多,这些程序基本上是用政府数据来训练的。所以,史蒂芬,根据你的说法,这个故事可能不仅仅是NLRB这么简单。
由于DOGE目前已经获得了对多个机构的访问权限,其他机构的网络安全专家是如何回应的?好吧,我们在前面提到的联邦法院案件中看到了证词,人们对DOGE表示担忧。
DOGE如何访问数据。但与此同时,并没有什么回应,因为许多网络安全专业人员已经辞职、被迫离职、调动、被停职、接受了提供的买断。因此,这实际上阻碍了对DOGE所作所为的回应或跟踪能力。我特别想到埃里·迈耶,一位在DOGE在消费者金融保护局做了类似的事情后辞职的技术人员。
珍娜在这个故事中采访了她。她说,我浑身发抖。他们可以获得每一份举报人的证词、每一份报告、所有的一切。这不好。另一位要求匿名以防遭到报复的内政部下属机构的员工说,他们的网络团队“很生气”,因为当我们拥有的每一个关于内部威胁的报警系统都响起时,他们不得不袖手旁观。这是很多危险信号。我
政府是如何回应的?特朗普发布了一项行政命令,要求联邦机构寻找方法打破信息孤岛,更轻松地在联邦机构之间共享非机密数据,并在法律允许的情况下这样做。但正如我们在这里看到的,他们对法律的解释与一些专家不同。阿耶莎,白宫昨天给了我们一条评论
在我们发表文章后,他们说,DOGE在像NLRB这样的联邦机构共享数据,这已经是旧闻了。
他们没有否认这一点。那么,自从你上周报道这个新闻以来,还发生了什么?众议院监督委员会的资深民主党议员、弗吉尼亚州的杰里·康诺利正在呼吁对DOGE访问NLRB进行调查,以获得一些答案。与此同时,我们收到了一封电子邮件的副本,通知NLRB员工,两名DOGE工作人员将在未来两个月内与NLRB一起工作。
你知道,鉴于康诺利这样的人希望进行独立调查,很难保证这些新的Doge员工在调查期间不会篡改任何法医证据。
我们还听说一些IT员工被锁定了他们工作的系统。基本上,他们无法看到发生了什么或无法完成他们的工作。考虑到所有这些,我仍在考虑举报人巴鲁利斯,以及他遛狗的照片等等。在历届政府中,我们都看到做举报人可能是危险的。巴鲁利斯现在还在劳资关系委员会吗?
巴鲁利斯仍在劳资关系委员会工作,我们没有听说过任何迹象表明他将被停职或解雇。劳资关系委员会在其声明中告诉我们,他们致力于保护员工向国会进行正式披露的权利,并将配合任何调查。但我认为你是对的。现在真的是一个非常可怕的时刻。对他来说,在他提出这些担忧后,这些Doge员工可能和他一起在办公室里,这真的很令人不安。
但布鲁利斯觉得这样做非常重要。他说这是一个道德义务,在他20年的IT生涯中从未遇到过这样的事情。“否则我无法原谅自己。”知道这些数据泄露在外,将会影响这些案件。这将使人们失去真正的生计。而这一切发生在没有人知道发生了什么的情况下,这是最大的悲剧。我全心全意地相信,这远远超出了案件数据本身。
我知道我与之交谈过的其他机构的其他管理员也看到了类似的行为,他们不愿公开表达。他们不愿举报,因为归根结底,他们有家庭,他们有受到隐含威胁的事情。像这样挺身而出,我对自己的结果并不抱希望。我希望的是人们会看看,说,嘿,其他人也这么做了。我也能做到。如果足够多的人挺身而出
它可以形成一个运动。他们破坏安全、违规和窃取数据而无人知晓的做法是可以阻止的。他实际上向Doge工程师发出了个人恳求。这是一个简单的请求:保持透明。如果你没有什么可以隐瞒的,不要删除日志。不要隐瞒你进入机构的情况。要公开。因为这就是效率的真正含义。如果这一切都是巨大的误解,那么就
证明它。把它公布出来。这就是我所要求的。斯蒂芬,你提到你和珍娜是一个调查美国联邦政府重组的团队的成员。你们的团队现在在做什么?你们将如何继续揭露Doge的活动?好吧,在这个具体的故事以及联邦政府的其他影响方面,仍然有很多问题没有得到解答。
因此,我们正在全国各地、联邦机构之间展开调查,追踪这些变化,试图了解事情是如何变得更糟、更好还是根本没有变化。而且,你知道,还有十几起正在进行中的诉讼,还会有越来越多的进展。所以,对于这个团队和整个NPR新闻编辑室来说,这是一个全面出击。
绝对的。与此同时,艾莎,在这个故事出来后,我们已经听到了更多联邦工作人员的声音。他们想分享更多他们在各自机构看到的景象。所以我们的团队有很多工作要做。如果有人在收听,并且想与你们分享一些重要的信息,他们可以在哪里联系你们中的任何一位?所以要去的地方是Signal。加密消息应用程序Signal是一个很棒的工具。你知道,它在保护普通用户方面做得非常好。
如果你使用的是工作设备或手机本身已被入侵,它并非完全防弹,但对于普通人来说,它在保护你的数据安全方面做得非常好。而且,你知道,为了充分披露,NPR的首席执行官凯瑟琳·马尔是Signal董事会的董事长。
要在Signal上找到我们,请点击应用程序右上角的小笔和便签,然后搜索我们的用户名。我的用户名是JennaMcLaughlin.54。斯蒂芬呢?我的用户名是MyNameWithoutVowelsSTPHNFWLR.25。这两个用户名也在我们关于此事的报道底部。
珍娜和斯蒂芬,非常感谢你们对我们政府正在发生的变化所做的所有令人难以置信的报道。谢谢。谢谢你们的邀请。那是NPR的珍娜·麦克劳克林和斯蒂芬·福勒。你可以在NPR.org上找到他们关于劳资关系委员会报道的更多细节。
本期《星期日故事》由Kim Naderfane-Petersa和Andrew Mambo制作。它由Liana Simstrom、Irene Noguchi和Brett Neely编辑。本期节目的混音工程师是Jimmy Keeley。
《星期日故事》团队包括Justine Yan和Jenny Schmidt。我们总是喜欢听到你的声音,所以请随时通过thesundaystoryatnpr.org与我们联系。我是阿耶莎·罗斯科。明天《Up First》将回到你的收听列表中,提供你开始新一周所需的所有新闻。在此之前,祝你周末愉快。
想在没有赞助商广告的情况下收听这个播客吗?亚马逊Prime会员可以通过亚马逊音乐收听无赞助商广告的《Up First》。或者你也可以支持NPR的重要新闻工作,并在plus.npr.org获得Up First Plus。网址是plus.npr.org。
想象一下,一个来自NPR的节目,不像NPR。一个节目,关注的不是重要的,而是愚蠢的。节目中会讲述人们在裤子里走私动物、能力强的罪犯和荒谬的科学研究的故事。并将其命名为《等等,别告诉我》,因为好名字都被占用了。收听NPR的《等等,别告诉我》。是的,这就是它的名字。无论你在哪里收听播客。
在《星球经济》中,我们将带你从加勒比海的朗姆酒制作竞赛开始。就质量而言,我们的朗姆酒是世界上最好的。到正在生产最先进微芯片的实验室。人们很少进去。到纽约钻石区的后室。什么,你在找这里那个傻瓜吗?他们都很聪明,别担心。《星球经济》来自NPR。我们将带你前往故事发生地,无论你在哪里收听播客。