Website van Elon Musks transparantieafdeling kan eenvoudig worden aangepast

De website waar Elon Musk Amerikaanse overheidsuitgaven publiceert, gebruikt een database die openbaar aan te passen is. Onderzoekers wisten de api-endpoints te vinden, waardoor er posts live op de site kunnen verschijnen.

Het gaat om de website doge.gov, wat staat voor het Department of Government Efficiency. Dat is weliswaar een officieel door de Amerikaanse overheid opgezette website, maar de site bevat in de praktijk alleen berichten van X die door het @doge-account zijn geplaatst. De afdeling die door Elon Musk wordt aangestuurd, registreerde de website in januari, maar begon daar deze week op te posten nadat Musk dat kort daarvoor zei tegen journalisten. Nu blijkt uit onderzoek van 404Media dat de website makkelijk kan worden gemanipuleerd.

Dat heeft er deels mee te maken dat de website is gebouwd op basis van Cloudflare Pages. Dat betekent dat de data erop niet op Amerikaanse overheidsservers wordt gehost. Beveiligingsonderzoekers ontdekten dat het mogelijk was om zelf zaken in die database te zetten. Dat hebben zeker twee personen gedaan. Op het moment van schrijven staan enkele van die entry's er nog steeds in.

De onderzoekers waarmee 404 Media sprak, zeggen dat ze updates naar de site konden posten nadat ze de api-endpoints van de site wisten te achterhalen. Ze noemen de site verder 'bij elkaar gegooid' en zeggen dat er veel errors en informatie in de broncode te vinden is. Voor zover bekend is het nog steeds mogelijk de site aan te passen; het DOGE of Elon Musk hebben nog niet gereageerd.

doge

Reacties (112)

Andy1562 15 februari 2025 03:53

Grappig. Dat je even een sql injectie kan doen zo. Heb zelf niet veel verstand van sql en andere databases maar zoiets lees ik weinig meer. het lijkt wss op het huiswerk op de computer scienxe afdeling die ik jaren geleden heb gedaan

Exception @Andy1562 • 15 februari 2025 09:49

Zoals ik het lees gaat het niet (eens) om SQL-injectie, maar openbare API-endpoints die dus zonder authenticatie te bereiken zijn.

Komt erop neer dat je een bericht kunt plaatsen door data te posten naar de juiste URL.

alienfruit @Exception • 15 februari 2025 18:53

Zonder authenticatie endpoints komt natuurlijk veel voor. Ik kende ook wel een paar API endpoints bij grote financiële instellingen (Big Three bijv.) die tot vorig jaar openstonden.

wild_dog @alienfruit • 17 februari 2025 09:28

Dat hoeft geen probleem te zijn, zolang het Read only van opzettelijk openbare data is. Klinkt alsof dit niet het geval was.

alienfruit @wild_dog • 17 februari 2025 11:22

Volgens mij was het berichtenuitwisselingsconfiguratie

jerisson 14 februari 2025 22:47

Oei, ik dacht dat de "DOGE Kids" geniale jongeren waren, maar blijkbaar zijn het script kiddies die niet verder geraken dan een prompt in ChatGPT Grok om een website te maken...

DOGE toont zo wel aan dat het absoluut geen geld verspilt /s

En dit zijn dan de lui die je volledige toegang geeft tot de overheidssystemen... wat kan er misgaan?

djwice

@jerisson • 15 februari 2025 09:33

Gewoon een AI gevraagd iets te maken en geen beveiligings- of kwaliteitseisen gesteld.
Op Cloudflare kun je namelijk juist prima beveiliging inrichten.

Het concept "open overheid" is hiermee wat opgerekt.

Holland has "open overheid". Well, then we show that we are more open than the Dutch!

[Reactie gewijzigd door djwice op 15 februari 2025 09:39]

TitusV @jerisson • 17 februari 2025 12:15

Dus jij denkt daadwerkelijk dat die "kids" (het zijn toch gewoon meerderjarigen hoor) zelf die website gebouwd hebben?

jerisson @TitusV • 17 februari 2025 17:53

DOGE Kids is de naam die meerdere bronnen aan dat groepje geven. Niks dat ik verzonnen heb.

Of ze het zelf gebouwd hebben of niet doet er niet toe. Het toont wel aan dat er bij DOGE een ondermaatse screening gebeurt om te kijken of je capabel bent. Sowieso is het erg amateuristisch voor een groep die andere instanties wilt controleren.

TitusV @jerisson • 18 februari 2025 09:15

Een benaming om deze groep te framen als incapabel door media die het niet zo op hebben met de subsidies die stopgezet zullen worden aan hun bedrijven door deze "kids".
Als je aan een bedrijf vraagt of ze een website kunnen bouwen en deze blijkt achteraf niet voldoende dichtgetimmerd te zijn voor misbruik, dan kan je dat moeilijk de organisatie die de opdracht gaf de schuld hier van geven. Het is uiteindelijk de fout van het bedrijf dat de site gebouwd heeft. Deze dient hier dan ook afgerekend op te worden, niet de opdrachtgever.

jerisson @TitusV • 18 februari 2025 18:05

Het lijkt me straf dat DOGE zo een eenvoudige website laat maken door een extern bedrijf. De helft van hun leden zouden immers software engineers of "hackers" zijn.

De tijd nodig om de voorwaarden, prijs, en dergelijke te onderhandelen - typisch ook bij meerdere kandidaten - zou langer duren en meer geld kosten dan zelf de site bouwen (zelfs met degelijke basisbeveiliging). Het zou dus niet erg Efficiënt zijn van DOGE.

TitusV @jerisson • 19 februari 2025 09:56

Assumption is the mother of all fail.
Ik kan nergens terugvinden wie de site gemaakt heeft.

jip_86 14 februari 2025 20:42

De website is doge.gov niet archive.org. De entries staan er niet meer in.

84hannes @jip_86 • 14 februari 2025 21:00

Dat is inderdaad misleidend, ik heb een topic voor je aangemaakt.

wica 14 februari 2025 20:14

Wat is er met de source code van die site?

Bux666 @wica • 14 februari 2025 23:09

Apart ja. En als je de source van /join bekijkt, kom je bovenaan dit tegen:

<!DOCTYPE html>



 <html class="no-js" lang="en-US"> 

Serieus? Die site is in 2025 gemaakt en er wordt gecheckt op IE6, IE7, IE8 en IE9? Dat is echt zoooo deprecated.

hackerhater @Bux666 • 14 februari 2025 23:30

Waarschijnlijk een of crappy site-generator.

Louw Post

@hackerhater • 15 februari 2025 07:26

Microsoft Frontpage?

hackerhater @Louw Post • 15 februari 2025 12:25

No idea. Of een AI-generator die getraind is op die troep.

wica @Bux666 • 15 februari 2025 01:01

Kan jij /join bekijken?
Ik krijg "Sorry, you have been blocked" van cloudflare.

Bux666 @wica • 15 februari 2025 14:11

Dat kreeg ik ook toen ik de pagina daarna wilde bekijken. Ik kwam er zo op uit:

Bezoek https://doge.gov/ (ik in Firefox)
Ctrl+U (of rechter muisknop → View Page Source)
In die source op regel #5 klikte ik op /join van het stuk <a class="..." href="/join">Join</a>

armageddon_2k1 @Bux666 • 15 februari 2025 00:49

Ze hebben grok.ai gebruikt natuurlijk. Dat moest van ome Musk.

madcow22 14 februari 2025 20:03

Zal wel door musk gebouwd zijn aan zijn geschiedenis te horen kon hij nauwelijks programmeren.

DJ Henk @madcow22 • 15 februari 2025 09:30

Het heeft er alle schijn van dat het door een AI in elkaar geknutseld is. Snel resultaat, ziet er aardig uit, hup, meteen online! En dan blijkt het als je even twee seconden verder kijkt, blijkt het zo'n gatenkaas te zijn dat zelfs een Tesla op autopilot nog zonder brokken er doorheen kan navigeren.

sebastienbo @DJ Henk • 16 februari 2025 09:06

Als het door ai gemaakt was dan zouden er geen grote fouten in zitten zoals die dat gevonden zijn. Het werd gemaakt door zijn team van kids. Het is totaal onverantwoord om zo een jonge mensen zo een belangrijke taken te laten uitvoeren. Door hebben de ervaring niet van security, privacy en ethiek. Maar dat zal het de reden zijn dat Elon musk hun aangenomen heeft , die stellen niets in vraag

[Reactie gewijzigd door sebastienbo op 16 februari 2025 09:08]

djmuggs 14 februari 2025 20:50

Musk is de CEO/autobouwer/raketgeleerde/AI guru/Frontend-,backenddeveloper/UI-,UXdesigner van alle bedrijven waar hij mee te maken heeft,
Hij is zo goed, dat hij dit allemaal alleen doet zonder medewerkers.
</sarcasme>

Kijk eens naar de kwaliteit van de gemiddelde IT projecten in nederland, allemaal zonder gedoe en veilig binnen de kosten opgeleverd.

Maarja Musk, dan is het bericht van @TijsZonderH om 20:23 eigenlijk geen grap meer imho.

djwice

@djmuggs • 15 februari 2025 09:44