John Solly, un inginer software și fost membru al așa-numitului Departament de Eficiență Guvernamentală (DOGE), este angajatul DOGE acuzat într-o plângere de avertizare de integritate că le-ar fi spus colegilor că a stocat date sensibile de la Administrația de Asigurări Sociale (SSA) pe un stick USB și că dorea să împărtășească informațiile cu noul său angajator, potrivit mai multor surse WIRED. Din octombrie, conform unei copii a CV-ului său, Solly a lucrat ca director tehnic pentru divizia IT de sănătate a unui contractor guvernamental numit Leidos, care a primit deja milioane de dolari în contracte SSA și ar putea primi până la 1,5 miliarde de dolari în contracte cu SSA pe baza unui acord de cinci ani pe care l-a semnat în 2023. Site-ul web personal și LinkedIn-ul lui Solly au fost scoase de pe internet săptămâna aceasta.
Ca răspuns la o cerere de comentarii, Solly, prin intermediul consilierului său juridic, a negat că ar fi săvârșit vreo faptă greșită. Un purtător de cuvânt al Leidos a declarat, de asemenea, că compania nu a găsit nicio dovadă care să susțină afirmațiile avertizorului de integritate împotriva lui Solly.
Solly a fost unul dintre cei 12 membri ai echipei DOGE de la SSA, unde, conform CV-ului de pe site-ul său personal, a sprijinit „alți ingineri DOGE în inițiative, inclusiv SSN digital, curățarea fișierului Death Master” și „API de verificare SSN (EDEN 2.0)”. „Fișierul Death Master” este o bază de date SSA care conține milioane de înregistrări de asigurări sociale ale persoanelor decedate și este menținută pentru ca identitățile lor să nu poată fi folosite pentru fraudă. Un API, sau interfață de programare a aplicațiilor, permite diferitelor programe să comunice între ele, inclusiv să extragă date și informații unul de la celălalt. În acest caz, ar putea permite accesul la datele de asigurări sociale de către agenții și instituții din afara SSA.
Alegația a fost dezvăluită într-o plângere depusă la supraveghetorul intern al SSA, raportată inițial la începutul acestei săptămâni de The Washington Post, care nu i-a numit pe Solly sau Leidos. Potrivit Post, plângerea a fost depusă la Oficiul Inspectorului General al SSA la începutul acestui an și susține că fostul angajat DOGE a spus colegilor că a luat copii ale Sistemului de Identificare Numerică SSA, sau NUMIDENT, precum și „fișierul death master”. NUMIDENT este o bază de date SSA master care conține toate informațiile incluse într-o cerere de număr de asigurare socială, inclusiv numele complete, datele de naștere, rasa și mai multe informații de identificare personală. În plângere, potrivit Post, un avertizor de integritate susține că fostul angajat DOGE a cerut ajutor pentru transferarea unui set de date de pe un stick USB pe un computer personal pentru a-l putea „igieniza” înainte de a-l încărca pentru utilizare la o companie din sectorul privat. Fostul angajat DOGE ar fi spus că se așteaptă să primească o grațiere prezidențială dacă acțiunile sale ar fi ilegale, se arată în plângere.
Solly „nu a împărtășit, accesat sau vizualizat nicio informație de identificare personală (PII) menținută de SSA, inclusiv Fișierul Death Master (DMF) și Sistemul de Identificare Numerică (Numident) al SSA. Acuzațiile făcute de o sursă presupus anonimă sunt categoric false și calomnioase. Domnul Solly va lua toate măsurile necesare pentru a-și reabilita numele bun și reputația stellară”, spune Seth Waxman, care îl reprezintă pe Solly. „Este sigur că orice analiză corectă a faptelor și circumstanțelor din jurul acestor acuzații false îl va exonera pe deplin.”
Leidos este un contractor major pentru SSA. Între 2010 și 2018, compania a încasat milioane de dolari în contracte IT SSA. În 2018, Leidos a primit contracte cu o valoare potențială de până la 639 de milioane de dolari pentru servicii de suport IT și procesarea cererilor de invaliditate. În 2023, compania a anunțat că a primit un contract IT estimat la 1,5 miliarde de dolari cu agenția. Ca parte a incursiunii DOGE în guvernul SUA la începutul anului 2025, Leidos, ca mulți contractori guvernamentali, a văzut unele dintre contractele sale reduse.
Purtătorul de cuvânt al Leidos, Todd Blecher, a declarat pentru WIRED: „Am finalizat o investigație internă, inclusiv interviuri cu angajații, și nu am găsit nicio justificare a afirmațiilor împotriva domnului Solly. Investigația noastră a implicat criminalistică digitală avansată care nu a găsit nicio dovadă că datele Administrației de Asigurări Sociale descrise într-o plângere a avertizorului de integritate se află sau au fost vreodată în rețelele Leidos. Am stabilit, de asemenea, că domnul Solly nu a conectat niciodată un stick USB sau orice alt dispozitiv de stocare la laptopul său emis de companie. Nu există nicio suprapunere în declarația sa de lucru actuală la Leidos cu activitatea pe care a desfășurat-o la SSA. Cooperăm pe deplin cu Administrația de Asigurări Sociale în această chestiune.”
„Acuzațiile făcute de o singură sursă anonimă au fost respinse cu fermitate de toate părțile numite - SSA, fostul angajat și compania”, a declarat un purtător de cuvânt al SSA pentru WIRED. „Chiar și The Washington Post a recunoscut că nu a putut verifica informațiile - deoarece nu sunt adevărate. SSA se concentrează pe continuarea transformării noastre digitale pentru a oferi servicii mai bune și mai rapide pentru fiecare american.”
În august anul trecut, directorul șef de date al SSA, Chuck Borges, a depus o plângere diferită la Biroul Special al SUA, acuzând DOGE că a încărcat în mod greșit date SSA, inclusiv informații extrem de sensibile despre milioane de persoane cu numere de asigurări sociale, pe un server cloud nesecurizat. În plângere, Borges a susținut că acțiunile întreprinse de DOGE ar putea pune datele în pericol de a fi piratate sau divulgate. În plângerea lui Borges, l-a numit în mod specific pe Solly ca membru DOGE care a solicitat ca agenția să mute datele NUMIDENT live, care conțin milioane de numere de asigurări sociale, și să le încarce într-un mediu cloud care nu are „controale de securitate independente”. Alți membri ai DOGE, inclusiv Edward Coristine, Aram Moghaddassi și Michael Russo, ar fi participat, conform plângerii lui Borges, la discuțiile despre mutarea datelor NUMIDENT. Înainte de a se alătura DOGE la vârsta de 19 ani, Coristine a lucrat pentru un startup care a angajat hackeri reformați condamnați. Coristine, Moghaddassi și Russo nu au răspuns imediat solicitărilor de comentarii înainte de publicare. La câteva zile după depunerea plângerii, Borges și-a dat demisia din funcția sa la SSA, invocând acțiuni împotriva sa de către agenție care „fac imposibilă îndeplinirea legală și etică a îndatoririlor mele”.
Au existat și alte controverse în jurul activităților DOGE la SSA: Într-un caz, în timp ce echipa DOGE se afla la SSA, au mutat numerele de asigurări sociale a mii de imigranți în „fișierul death master” ca o modalitate de a le închide efectiv capacitatea de a trăi și de a lucra în SUA.
Când Solly a ajuns la SSA anul trecut, inițial a fost însărcinat cu consolidarea sistemului de tichete IT al agenției, potrivit a două surse SSA familiare cu munca sa. Până în iunie anul trecut, se pare că a preluat un nou proiect care implică date NUMIDENT, conform plângerii Borges.
Un CV pe care Solly l-a postat pe site-ul său personal a subliniat, de asemenea, munca pentru agenție la ceva numit EDEN 2.0. EDEN, sau Rețeaua de Schimb de Date Enterprise, a făcut inițial parte dintr-un sistem pentru a ajuta instituțiile financiare să verifice identitățile clienților lor, potrivit lui Leland Dudek, fost comisar SSA interimar. Sistemul EDEN extrage date din NUMIDENT, la care Solly ar fi avut probabil nevoie de acces pentru a lucra la EDEN. „Partajarea lucrurilor se face de obicei printr-un mainframe”, spune Dudek. „Nu este o modalitate grozavă de a partaja date.”
Nu este clar exact ce era menit să realizeze proiectul EDEN 2.0, dar pare a fi un sistem API pentru a furniza verificarea în timp real a numărului de asigurare socială către alte agenții guvernamentale, potrivit unei surse familiare cu activitatea. Potrivit lui Dudek, prima versiune a EDEN a fost construită cam în același timp cu un alt instrument SSA, Verificarea electronică bazată pe consimțământ a numărului de asigurare socială (eCBSV). Acesta este un instrument de detectare a fraudei care permite instituțiilor financiare să își verifice înregistrările cu datele de asigurări sociale, pentru a se asigura, de exemplu, că cineva care deschide un cont bancar este cine spune că este. Pentru a partaja aceste date în siguranță cu instituțiile externe, SSA avea nevoie de un sistem care să nu necesite acces la mainframe. EDEN, deși nu face tehnic parte din sistemul eCBSV, a fost esențial pentru proiect. „Piesa de bază care a făcut ca acest lucru să funcționeze, deoarece faceți acorduri cu diferite entități comerciale și o expuneți printr-un API, asta a fost ceea ce a fost conceput sistemul EDEN”, spune Dudek.
Deși Dudek spune că EDEN nu a fost conceput cu scopul de a partaja datele SSA cu alte agenții, el spune că „ar putea fi” folosit pentru asta. „O extensie logică a [partajării datelor cu instituțiile financiare] ar putea fi folosită pentru a partaja date între alte agenții”, spune el. Dudek spune că echipa DOGE de la SSA nu i-a spus niciodată direct că lucrează la EDEN și că el nu le-a dat instrucțiuni în acest sens. „Erau mai interesați să încerce să găsească frauda în fișierul NUMIDENT”, spune el.
Se pare că EDEN este deja folosit pentru a partaja date cu alte agenții. Pe 25 februarie, William Kirk, inspector general al Small Business Administration (SBA), a apărut în fața Comisiei pentru întreprinderi mici și antreprenoriat din Senat cu privire la combaterea fraudei, în special în împrumuturile acordate pentru a sprijini întreprinderile în timpul pandemiei de Covid-19. Într-o declarație scrisă depusă alături de mărturia sa, Kirk spune că „SBA a declarat, de asemenea, că și-a extins acordurile de partajare a datelor în bazele de date federale”, inclusiv „Rețeaua de schimb de date enterprise a Administrației de Asigurări Sociale”.