Elon Musk e DOGE sotto accusa: il giudice limita l'accesso ai sistemi del Tesoro USA

Un giudice federale statunitense ha bloccato temporaneamente il Dipartimento del Tesoro degli Stati Uniti d'America dal condividere dati sensibili del suo sistema di pagamenti con soggetti esterni, in quello che rappresenta un primo ostacolo legale per Elon Musk nella sua campagna per ridurre la spesa pubblica. La decisione è stata presa dal giudice Colleen Kollar-Kotelly, che ha emesso un ordine restrittivo dopo che Musk aveva dichiarato che il suo team presso il Dipartimento di Government Efficiency (DOGE) stava "rapidamente chiudendo" alcune operazioni del Tesoro, dopo aver ottenuto accesso al sistema che gestisce 6 mila miliardi di dollari all'anno, inclusi pagamenti per la sicurezza sociale e Medicare.

L'iniziativa legale è stata avviata da rappresentanti dei dipendenti pubblici e dei pensionati, che hanno denunciato la condivisione dei dati come una violazione delle protezioni sulla privacy garantite dalla legge federale. Nonostante le rassicurazioni del governo statunitense sul fatto che solo due emissari di DOGE, Tom Krause, CEO di Cloud Software Group, e il programmatore venticinquenne Marko Elez, avessero accesso al sistema, il giudice ha deciso di impedire temporaneamente qualsiasi condivisione di informazioni al di fuori del Tesoro fino a quando non sarà valutata una possibile ingiunzione permanente.

La vicenda si inserisce in un contesto più ampio di preoccupazioni sollevate da funzionari del Tesoro e della Casa Bianca riguardo all'accesso di Musk e DOGE al sistema e alla loro presunta autorità. Nonostante il nome, il DOGE non è un'agenzia governativa ufficiale, ma una riorganizzazione temporanea del Servizio Digitale degli Stati Uniti, trasferito sotto l'Ufficio della Presidenza, il che permette al dipartimento di operare senza l'approvazione del Congresso. Elon Musk, nominato "special government employee", ha accesso limitato a 130 giorni lavorativi all'anno, ma con regole etiche meno severe rispetto ai dipendenti federali a tempo pieno. Il Dipartimento è composto da Musk e da giovani dipendenti del settore privato con poca o nessuna esperienza governativa e con l'unica referenza di aver lavorato in precedenza a stretto contatto con l'imprenditore sudafricano.

I componenti di DOGE: giovani, smanettoni e con un dubbio passato

Tra questi figurerebbe Edward Coristine, 19enne conosciuto online con lo pseudonimo "Big Balls" e definibile a tutti gli effetti come uno "smanettone" appassionato di tecnologia e informatica, di cui Wired ha raccolto e collegato numerose informazini, a partire dalla preoccupazione espressa da alcuni esperti di sicurezza circa il suo passato professionale e la sua attività online, che potrebbero non soddisfare i requisiti necessari per ottenere le autorizzazioni di sicurezza che i protocolli federali generalmente richiedono per questo genere di impieghi. 

Nel corso degli ultimi quattro anni Coristine ha fondato almeno cinque aziende, tra le quali figura la società Tesla.Sexy LLC, una società registrata quando aveva 16 anni. Si tratta di un'azienda che gestisce numerosi domini web, inclusi alcuni registrati in Russia, tra cui uno attivo che offre un servizio AI per server Discord rivolto al mercato russo.

Joseph Shelzi, ex ufficiale dell'intelligence dell'esercito statunitense con esperienza nella gestione delle autorizzazioni di sicurezza, ha dichiarato a Wired che collegamenti con paesi stranieri o con domini registrati all'estero sarebbero immediatamente segnalati durante un'indagine di questo tipo. Un altro analista dell'intelligence statunitense, che ha chiesto a Wired di rimanere anonimo, ha dichiarato che sarebbe improbabile che Coristine superasse un controllo approfondito per ottenere l'accesso privilegiato ai sistemi governativi.

Il passato professionale di Coristine include anche un periodo presso Neuralink nel 2024, ma ancor più importante è il tempo trascorso in Path Network nel 2022, società nota per aver assunto ex hacker black-hat riformati tra cui Eric Taylor, noto anche come Cosmo the God, un noto ex criminale informatico e membro del gruppo di hacker UGNazis, e Matthew Flannery, un hacker australiano condannato che la polizia sostiene fosse membro del gruppo di hacker LulzSec.

Un altro aspetto problematico riguarda l'attività online di Coristine. Messaggi archiviati su Telegram mostrano che nel 2022 un account associato al suo nome avrebbe cercato servizi per attacchi DDoS a pagamento. Inoltre, il suo alias "Big Balls" e altri pseudonimi utilizzati in passato su piattaforme come X (precedentemente Twitter) aggiungono ulteriori dubbi sulla sua professionalità e idoneità.

Al momento non è chiaro se Coristine abbia effettivamente superato un controllo approfondito per ottenere l'accesso ai sistemi governativi o quale livello di autorizzazione gli sia stato concesso, ma il diciannovenne è ora elencato nei registri dell'Office of Personnel Management (che si occupa della gestione di tutti gli impiegati federali degli Stati Uniti) come "esperto" presso quell'agenzia, con il compito di supervisionare le questioni relative al personale per il governo federale. I dipendenti della General Services Administration affermano di aver visto la partecipazione di Coristine a videochiamate per ispezionare il loro lavoro e per rivedere il codice che avevano scritto.

DOGE, una gestione dove la sicurezza delle informazioni non è la priorità

Il controverso profilo di Coristine è solamente il riflesso di un ancor più controverso operato che il Dipartimento di Efficienza Governativa sta adottando dopo l'insediamento del presidente Donald Trump. Tra i sistemi a cui DOGE ha avuto accesso c'è anche il sistema di pagamento del Dipartimento del Tesoro, che come dicevamo gestisce 6 mila miliardi di dollari all'anno. Questo sistema contiene dati personali di milioni di americani, come numeri di previdenza sociale e informazioni sui beneficiari di programmi come Medicare e Social Security. Nonostante il Tesoro abbia affermato che l'accesso è limitato alla modalità "read-only", gli esperti di sicurezza temono che tale accesso possa essere sfruttato per manomettere i pagamenti o esporre dati sensibili a minacce esterne.

Le preoccupazioni non si limitano al Tesoro: come riporta TechCrunch, secondo quanto riferito in una denuncia presentata da anonimi impiegati federali, il team DOGE avrebbe anche installato server non autorizzati presso l'Ufficio per la Gestione del Personale, compromettendo potenzialmente i dati personali di milioni di dipendenti federali. Questi server non rispettano gli standard di sicurezza stabiliti dal National Institute of Standards and Technology, aumentando il rischio di attacchi informatici da parte di attori criminali o hacker sponsorizzati da stati. Come se non bastasse un componente del team avrebbe usato un account gmail personale per accedere a una chiamata governativa.

Un altro aspetto preoccupante riguarda le autorizzazioni di sicurezza concesse al personale del DOGE. Un ordine esecutivo firmato dal presidente Trump consente l'assegnazione temporanea di autorizzazioni "top secret" senza un processo di verifica approfondito, in netto contrasto con i protocolli consolidati, portando a scontri tra il team DOGE e funzionari governativi di lungo corso ed esperienza professionale che cercavano di proteggere informazioni classificate.

Le implicazioni delle attività del Dipartimento di Efficienza Governativa sono profonde sia a livello nazionale che internazionale dal momento che la gestione inadeguata dei dati sensibili potrebbe compromettere le relazioni diplomatiche degli Stati Uniti con i suoi alleati, che potrebbero esitare a condividere informazioni riservate temendo fughe di notizie o utilizzi impropri. Inoltre, gli standard di sicurezza informatica non rispettati dal DOGE aumentano il rischio che malware o attacchi informatici compromettano ulteriormente i sistemi governativi.

La gestione dei dati da parte del DOGE è stata definita da alcuni esperti come una "violazione della sicurezza in tempo reale". Jason Kikta, ex ufficiale del Cyber Command degli Stati Uniti, ha avvertito che le azioni del DOGE potrebbero rappresentare "la più grande violazione dei sistemi governativi mai registrata" con conseguenze che potrebbero riverberarsi per decenni. L'accesso non autorizzato ai sistemi rappresenterebbe inoltre la violazione di leggi federali come il Federal Information Security Modernization Act (FISMA) e il Privacy Act del 1974.

Un'udienza sul caso è prevista per la giornata di domani, venerdì 7 febbraio 2025.