Un sitio web lanzado por el Departamento de Eficiencia Gubernamental (DOGE) de Elon Musk tiene una importante vulnerabilidad de seguridad, lo que permite a usuarios no autorizados modificar directamente su contenido.
La vulnerabilidad descubierta por dos expertos en desarrollo web surge del uso por parte del sitio web de una base de datos externa no segura. Esto permitió que cualquier persona consciente de la vulnerabilidad publicara y mostrara contenido en vivo en el sitio.
El sitio web DOGE, lanzado en enero, tenía como objetivo mostrar los esfuerzos del departamento para recortar el gasto gubernamental. Sin embargo, durante semanas permaneció prácticamente inactivo, presentando sólo tres líneas de texto y un logotipo de dibujos animados.
Se desarrolló más el miércoles y jueves. El sitio extrae datos de un sitio de Cloudflare Pages, donde se implementa el código subyacente.
La falla de seguridad fue reportada por primera vez por 404Media, quienes fueron alertados por dos especialistas en desarrollo web. Descubrieron que el sitio web doge.gov se conecta a una base de datos a la que pueden acceder y modificar terceros.
Esto permitiría a cualquiera realizar modificaciones no autorizadas que aparecieran en el sitio web en vivo. La vulnerabilidad fue rápidamente explotada y personas publicaron mensajes satíricos en la página de inicio del sitio.
Un mensaje decía: «Esto es una broma de un sitio .gov».
Otro afirmó: «ESTOS ‘EXPERTOS’ DEJARON ABIERTA SU BASE DE DATOS – roro».
Estos mensajes permanecieron visibles durante horas.
Newsweek también informó haber visto el mensaje “Esto es una broma de un sitio .gov” el viernes por la mañana. La facilidad con la que se desfiguró el sitio web ha generado preocupaciones sobre las prácticas de seguridad de DOGE.
Los expertos han señalado que el sitio parece haber sido construido apresuradamente. Un codificador le dijo a 404Media: “Parece como si lo hubieran construido apresuradamente.
Hay numerosos errores e información sensible expuesta en el código fuente de la página”. Sam Curry, un experto en codificación, señaló que el sitio web de DOGE parece ser desarrollado y alojado por Burst Data, que es administrado por un empleado actual de DOGE.
Añadió que las imágenes del sitio se enrutan a través del servicio ImageDelivery de Cloudflare. Desde entonces, el equipo de DOGE resolvió los problemas del sitio web y eliminó los mensajes controvertidos.
Sin embargo, el incidente ha planteado dudas sobre la capacidad del departamento para manejar datos confidenciales y mantener sistemas seguros. Antes del presunto hackeo, el sitio web DOGE supuestamente publicó datos de inteligencia clasificados.
Según un informe del Huffington Post, el sitio mostraba información sobre el tamaño y el personal de una agencia de inteligencia estadounidense. La exposición de datos clasificados y la facilidad con la que el sitio web fue pirateado han llevado a un mayor escrutinio de DOGE y sus prácticas.
Los críticos han expresado su preocupación por el acceso del departamento a información confidencial y la posibilidad de conflictos de intereses. Se han presentado varias demandas contra DOGE, cuestionando su acceso a datos gubernamentales.
