Whistleblower accusa il DOGE: sottrazione di dati sensibili e tentativi di accesso dall’estero ai sistemi dell'agenzia statunitense per i diritti dei lavoratori

La National Labor Relations Board (di seguito NLRB) è l'agenzia federale statunitense che ha il compito di tutelare i diritti dei lavoratori e di monitorare le pratiche sindacali, e che al momento si trova al centro di un caso piuttosto delicato di possibile grave violazione della sicurezza informatica che avrebbe portato alla sottrazione di dati sensibili di cittadini statunitensi. 

Tutto nasce dalla denuncia che Daniel Berulis, tecnico informatico impiegato presso l'agenzia, ha presentato al Congresso con il supporto dell'organizzazione Whistleblower Aid e nella quale sostiene che un gruppo di persone appartenenti al Department of Government Efficiency di Elon Musk abbia avuto un ruolo chiave nella vicenda: a partire da marzo i tecnici del DOGE avrebbero ottenuto un accesso di alto livello ai sistemi dell'NLRB che ha permesso loro di visualizzare, copiare e modificare dati senza alcun tipo di restrizioni di sicurezza.

Quali dati? Nella denuncia Berulis cita informazioni su casi legali in corso, elenchi di attivisti sindacali, note interne, dati personali come numeri di previdenza sociale e indirizzi, oltre a segreti commerciali di aziende coinvolte in procedimenti presso l’agenzia. Sarebbero stati rimossi circa 10 gigabyte di informazioni dai sistemi dell'NLRB, "un traffico in uscita estremamente raro", indica Berulis. 

La denuncia non è priva di dettagli tecnici, osservati con attenzione anche dal ricercatore di sicurezza Matt Johansen che ha pubblicato un lungo thread su X sottolineando le parti più interessanti emerse dalla documentazione presentata da Berulis al Congresso.

Agli operatori del DOGE è stato concesso un accesso "tenant owner" in Azure, il che significa pieno controllo dell'ambiente cloud dell'NLRB, al di sopra dei permessi di amministratore e addirittura delle autorizzazioni del CIO. In questo modo è stato possibile creare nuovi account che sono stati inoltre messi al riparo da possibili "occhi indiscreti": sarebbero infatti stati disabilitati o manipolati gli strumenti di log e di monitoraggio, oltre all'impiego di tecniche di DNS tunneling, così da rendere difficoltosa e complicata la ricostruzione dei fatti.

Un aspetto preoccupante che emerge dalla denuncia è il fatto che pochi minuti dopo la creazione di nuovi account da parte dei tecnici del DOGE, i sistemi hanno registrato tentativi di accesso da un indirizzo IP russo con credenziali di autenticazione valide. I tentativi sono stati bloccati dalle regole di accesso in essere e basate sulla posizione geografica.

Berulis non denuncia solamente le violazioni tecniche della sicurezza, ma anche il fatto che, senza alcuna motivazione, i vertici dell'NLRB abbiano impedito al tecnico di inviare una segnalazione formale alla Cybersecurity and Infrastructure Security Agency evitando, in questo modo, di avviare una indagine indipendente.

E non è finita qui: il tecnico dell'NLRB racconta di aver subito personalmente alcune intimidazioni dopo aver sollevato il caso internamente: Berulis ha riferito di aver ricevuto una lettera minatoria recapitata direttamente alla propria abitazione, contenente fotografie scattate con un drone e riferimenti espliciti alla sua attività di denuncia.

L’NLRB ha smentito nettamente le accuse, tramite il portavoce Tim Bearese che ha dichiarato a NPR che un'indagine interna non ha evidenziato prove di violazione e che il DOGE non avrebbe richiesto né ottenuto l'accesso ai dati sensibili. La dettagliata documentazione presentata nella denuncia di Berulis sembra però indicare tutto l'opposto. A questo punto sembra chiaro, anche viste le intimidazioni ricevute da Berulis e la mancata segnalazione alla CISA, che all'interno dell'NLRB vi siano pressioni per insabbiare la vicenda ed evitare eventuali ripercussioni legali e politiche.

C'è un ulteriore elemento di contesto da aggiungere, che forse aiuta ad avere un quadro leggermente più chiaro della vicenda: la National Labor Relations Board è da tempo invisa a diverse aziende figure del mondo imprenditoriale statunitense, tra le quali lo stesso Elon Musk, che da tempo cercano di contestare la costituzionalità dei poteri dell'agenzia.

Va notato che se una vicenda di questo tipo, considerando la gravità delle accuse e la quantità e il valore dei dati potenzialmente compromessi, fosse accaduta in un contesto aziendale privato, avrebbe richiesto l'immediata segnalazione alle autorità di vigilanza con una conseguente indagine e revisione delle procedure di accesso e monitoraggio della gestione delle informazioni.

La vicenda solleva inevitabilmente dubbi non solo sulla protezione dei diritti dei lavoratori, ma anche sulla sicurezza delle informazioni gestite dalle istituzioni federali. Si attendono, a questo punto, chiarimenti e prese di posizione ufficiali ed eventualmente, data la denuncia al congresso, anche un'indagine parlamentare.