Hakirane web stranice Odjela za učinkovitost vlade SAD-a
Web stranica doge.gov, koju je pokrenuo Odjel za učinkovitost vlade SAD-a (DOGE), čija je svrha praćenje smanjenja savezne potrošnje, sadrži kritičnu ranjivost koja omogućuje neovlaštene izmjene baze podataka...
Stručnjaci za sigurnost web aplikacija otkrili su i prijavili portalu 404 Media da stranica doge.gov radi na Cloudflare Pages platformi umjesto na vladinim poslužiteljima. Ovakva konfiguracija omogućuje trećim stranama pristup i izmjenu baze podataka, pri čemu se promjene odmah prikazuju na javno dostupnoj stranici.
"this is a joke of a .gov site"
Kao dokaz postojanja sigurnosnog propusta, jedan je programer uspješno dodao testne unose u bazu podataka koji su se pojavili na aktivnoj stranici. Unosi s porukama "this is a joke of a .gov site" i "THESE 'EXPERTS' LEFT THEIR DATABASE OPEN -roro" potvrdili su ozbiljnost propusta.
"Zapravo, doge.gov ima svoj izvorni kod, vjerojatno na GitHubu", rekao je programer koji je uočio sigurnosni propust. "Web stranicu objavljuju preko Cloudflare Pages izravno iz svog koda, a doge.gov je domena koja je povezana s njihovom pages.dev adresom. Dakle, umjesto da koriste fizički poslužitelj ili nešto poput Amazon Web Servicesa, oni koriste Cloudflare Pages koji podržava custom domene."
Daroviti i neiskusni
Elon Muskov tim u Odjelu za vladinu učinkovitost sastoji se uglavnom od mladih stručnjaka s ograničenim iskustvom u vladinom sektoru. Ovi mladi inženjeri, većinom u svojim ranim dvadesetima, dobili su značajne ovlasti u transformaciji vladinih sustava.
Iako nesumnjivo daroviti, IT mladi stručnjaci ipak imaju problema kada se suoče sa zastarjelim programskim jezikom COBOL, koji je još uvijek široko zastupljen u vladinim mainframe sustavima.
