根据向国会提出的举报人宣言,当特朗普总统政府效率倡议的一组顾问团队到达国家劳资关系委员会的总部时,IT劳资关系委员会的IT雇员很快就感到担忧。
NLRB调查并裁定有关不公平劳动惯例的投诉。它的数据库存储了潜在敏感数据的转换,从有关想要组建工会的员工到专有业务信息的机密信息。
由白宫顾问和亿万富翁技术首席执行官埃隆·马斯克(Elon Musk)有效地领导的托格员工似乎将目光投向了NLRB的内部系统,删除了敏感数据并涵盖了他们的轨道。
举报人丹尼尔·贝鲁利斯(Daniel Berulis)在接受NPR采访时说:“我无法证明他们的最终目标是什么或他们对数据的做法。” “但是我可以告诉你,我可以量化的难题的点是可怕的。……这是我们正在看的非常糟糕的情况。”
NLRB的代理新闻秘书蒂姆·贝雷斯(Tim Bearese)否认该机构授予Doge访问其系统,并表示Doge没有要求访问该机构的系统。 Bearese说,该机构在Berulis提出担忧后进行了调查,但“确定没有违反代理系统发生。”
尽管NLRB的否认,举报人向国会和其他联邦监督员的披露提供了Doge的访问和活动的证据。 NPR在整个联邦政府的报告还明确表明,Doge获得数据的访问是一个普遍关注的问题。
在这个故事发表后,白宫发言人安娜·凯利(Anna Kelly)在一份声明中说:“已经有几个月的新闻,特朗普总统签署了一项行政命令,在机构雇用了Doge员工并协调数据共享。他们的高度合格的团队在消除包括NLRB在内的行政部门的浪费,欺诈和虐待方面非常公开和透明,包括NLRB。”
这是NPR报告的五个收获:
Doge似乎忽略了标准安全惯例
贝鲁利斯说,Doge员工要求最高访问权限的同事告诉他,独立机构的计算机系统中所谓的“租户所有者级别”帐户。根据Berulis向国会的披露,这些提供本质上是无限制的允许阅读,复制和更改数据的许可。
当一名IT工作人员建议以一种使这些帐户的流程流程以使他们的活动受到NLRB安全策略的跟踪方式时,IT工作人员被告知要远离Doge的方式,披露仍在继续。
对于网络安全专业人员而言,未能记录活动是一种基本罪,与最佳实践相矛盾。
贝鲁利斯说:“那是一个巨大的危险信号。” “这是您不做的事情。它违反了安全和最佳实践的每个核心概念。”
根据披露,某人已禁用了可以防止不安全或未经授权的移动设备登录系统的控制,而无需适当的安全设置。有一个接触公共互联网的接口,有可能允许恶意演员访问其系统。内部警报和监视系统被手动关闭。多因素身份验证被禁用。
Berulis跟踪了NLRB系统内部的NXGEN病例管理系统“ Nucleus”的敏感数据。然后,他看到出站流量中的大量峰值离开了网络本身。他在披露中解释说,这种尖峰非常不寻常,因为数据几乎从未直接从NLRB的数据库中留下。
白宫官员杰克·布劳恩(Jake Braun)表示:“如果他不知道背景故事,任何值得盐的(首席信息安全官)都会看着这样的网络活动,并认为这是来自中国或俄罗斯的民族国家袭击。”
实际上,根据Berulis的披露,在Doge访问NLRB系统后的几分钟内,在俄罗斯拥有IP地址的人开始试图登录。这些尝试被阻止,但特别令人震惊。据Berulis称,试图登录的人使用的是新创建的Doge帐户之一,并且该人具有正确的用户名和密码。
NLRB的数据非常敏感,与Doge的削减成本任务无关
Doge关于NLRB数据的意图尚不清楚。许多系统的Doge嵌入了政府其他地区的付款或就业数据 – Doge可以用来评估要停止哪些赠款和计划的信息。
但是NXGEN案例管理系统大不相同。
它包含有关正在进行的,有争议的劳动案件,工会活动家名单,内部案例注释,社会保险号到家庭地址的个人信息,专有公司数据以及更多从未公开发布的信息的信息。访问该数据受到许多联邦法律的保护,包括《隐私法》。
哈佛大学法学院执行董事劳纳·布洛克(Sharon Block)表示:“对于Doge所做的事情,我看不到任何标准程序,即您如何进行具有诚信的审计,这是有意义的,实际上会产生能够服务于正常审计功能的结果,这是寻找欺诈,浪费和虐待。”
埃隆·马斯克(Elon Musk)的业务是NLRB调查的主题
有多个涉及NLRB和由Musk控制的公司的案件。在一群前SpaceX雇员向NLRB投诉后,代表SpaceX的律师最近被聘为政府工作,对NLRB提起诉讼。他们认为该机构的结构违宪。
特朗普和马斯克在接受福克斯新闻的肖恩·汉尼蒂(Sean Hannity)采访时说,马斯克将把自己从涉及公司的任何东西中撤回。马斯克说:“我从来没有问过总统。” “我在这里接受了每日的预科学检查。你知道,这并不是我要在夜晚死去的东西(我都会逃脱)。”但是,Doge已被授予高级访问可以使Musk受益的数据的高级访问,并且没有证据表明防火墙可以防止滥用该数据。
哈佛法律街区说:“这并不是他是一个随机的人,正在获取一个随机人不应该访问的信息。”她说:“但是,如果他们确实确实得到了一切,那么他就有有关政府正在针对他的案件的信息。”
她说:“无论是否承认,总督是由一个主题调查和起诉案件的主题的领导。这令人难以置信的令人不安。”
Doge具有寻求敏感数据而不保护的模式
在美国各地的联邦法院的十二起诉讼中,法官要求Doge解释为什么它需要如此广泛地访问美国人的敏感数据,从社会保障记录到私人医疗记录和税收信息。但是,特朗普政府无法给出一致和清晰的答案,在很大程度上驳回了网络安全和隐私问题。
非营利性公共利益律师事务所的执行董事凯尔·麦克拉纳汉(Kel McClanahan)表示,特朗普政府可能试图将Doge的实践编纂为政府如何共享信息,他代表联邦雇员在人事管理办公室使用私人电子邮件服务器方面代表联邦雇员。
在大约几周后,特朗普在华盛顿的联邦建筑物降落后几周后,发出了一项行政命令,敦促增加数据共享“通过消除信息筒仓”,即McClanahan这样的专家认为,尽管涉及隐私和网络库的法律,但麦克拉纳汉(McClanahan)像麦克拉纳汉(McClanahan)这样的专家试图进一步访问和合并敏感的联邦数据,以使Doge工程师进一步访问和合并敏感的联邦数据。
麦克拉纳汉告诉NPR:“我们制定隐私法的全部原因是国会意识到50年前,联邦政府刚刚充斥着有关正常人的信息,需要一些护栏。”他继续说:“信息孤岛是有原因的。”
劳工专家担心发布这些数据可能会损害有组织的劳动力
访问NXGEN数据将使公司更容易解雇员工的工会组织或保持组织者的黑名单 – 根据NLRB执行的联邦劳动法,非法活动。但是,“人们一直在这个国家被解雇,以寻求组织工会的合法行为,”布洛克说。
她继续说道,随着公司为法律挑战做准备,拥有联盟的主要组织者和潜在成员的清单将变得更加容易。
如果这些数据删除,可能会遭受痛苦的不仅仅是员工。公司有时还会在不公平实践投诉程序中提供有关内部业务计划和公司结构的详细声明。如果一家公司试图解雇其据称披露商业秘密的人,并以该决定的方式作出了不公平的实践投诉,那么这些商业秘密可能会在NLRB的调查中出现。这些信息对于竞争对手,监管机构和其他人将很有价值。
总体而言,NLRB数据的潜在暴露可能会产生严重的影响。
加利福尼亚大学,伯克利分校,劳工学者哈雷·谢肯(Harley Shaiken)说:“我认为这非常令人担忧。”他说:“这可能会对个别工人,工会组织的运动和工会本身造成损害。”
NPR的斯蒂芬·福勒(Stephen Fowler)贡献了报告。 NPR的Brett Neely编辑了这个故事。
是否有有关Doge在联邦政府内部获得数据访问的信息或证据?与作者接触 珍娜·麦克劳克林(Jenna McLaughlin),通过Jennamclaughlin的信号通信。54。 斯蒂芬·福勒(Stephen Fowler) 可在stphnfwlr.25上的信号上找到。请使用非工作设备。
