EKSKLUSIVT: U.S.A. flyselskab afslører ved et uheld 'No Fly List' på en usikret server

EKSKLUSIVT: U.S.A. flyselskab afslører ved et uheld 'No Fly List' på en usikret server
  TSA mærket tape

trekandshoot/Shutterstock (Licenseret)


optad_b

EKSKLUSIVT: U.S.A. flyselskab afslører ved et uheld 'No Fly List' på en usikret server

Et af de mest følsomme amerikanske regeringsdokumenter blev efterladt online.

En usikret server, der blev opdaget af en sikkerhedsforsker i sidste uge, indeholdt identiteten på hundredtusindvis af personer fra den amerikanske regerings Terrorist Screening Database og 'No Fly List'.

Placeret af den schweiziske hacker kendt som maia arson crimew, blev serveren, drevet af det amerikanske nationale flyselskab CommuteAir, efterladt afsløret på det offentlige internet. Det afslørede en stor mængde virksomhedsdata, inklusive private oplysninger om næsten 1.000 CommuteAir-ansatte.



Analyse af serveren resulterede i opdagelsen af ​​en tekstfil ved navn 'NoFly.csv', en reference til den delmængde af individer i Terrorist Screening Database, som er blevet udelukket fra flyrejser på grund af mistanke om eller kendte forbindelser til terrororganisationer.

Listen, ifølge crimew, så ud til at have mere end 1,5 millioner poster i alt. Dataene omfattede navne såvel som fødselsdatoer. Det inkluderede også flere aliaser, hvilket placerede antallet af unikke individer på langt mindre end 1,5 millioner.

På listen var flere bemærkelsesværdige figurer, herunder den nyligt frigivne russiske våbenhandler Viktor Bout, sammen med over 16 potentielle aliaser for ham.

Aliasene omfattede forskellige, almindelige stavefejl af hans efternavn og andre versioner af hans fornavn, såvel som forskellige fødselsdage. Mange af fødselsdagene stemte overens med den registrerede dato, Bout blev født.



Mistænkte medlemmer af IRA, den irske paramilitære organisation, var også på listen.

En anden person, ifølge crimew, blev opført som 8 år gammel baseret på deres fødselsår.

Mange poster på listen var navne, der så ud til at være af arabisk eller mellemøstlig afstamning, selvom latinamerikanske og anglikansk klingende navne også var på listen. Talrige navne inkluderede aliaser, der var almindelige stavefejl eller lidt ændrede versioner af deres navne.

'Det er bare vanvittigt for mig, hvor stor den Terrorism Screening Database er, og alligevel er der stadig meget klare tendenser i retning af næsten udelukkende arabisk og russisk klingende navne gennem de millioner poster,' sagde crimew.

'I løbet af de sidste 20 år er de amerikanske borgere, som vi har set målrettet for observationsliste, uforholdsmæssigt muslimske og mennesker af arabisk eller mellemøstlig og sydasiatisk afstamning,' sagde Hina Shamsi, direktør for National Security Project hos American Civil Liberties (ACLU) ). »Nogle gange er det folk, der er uenige eller har, hvad der ses som upopulære synspunkter. Vi har også set journalister stå på overvågningsliste.'

I en erklæring til Daily Dot sagde TSA, at det var 'bevidst om en potentiel cybersikkerhedshændelse med CommuteAir, og vi efterforsker i koordinering med vores føderale partnere.'



FBI afviste at besvare specifikke spørgsmål om listen til Daily Dot.

I en erklæring til Daily Dot sagde CommuteAir, at den eksponerede infrastruktur, som den beskrev som en udviklingsserver, blev brugt til testformål.

CommuteAir tilføjede, at serveren, som blev taget offline før offentliggørelsen efter at være blevet markeret af Daily Dot, ikke afslørede nogen kundeoplysninger baseret på en indledende undersøgelse.

CommuteAir bekræftede også legitimiteten af ​​dataene og anførte, at det var en version af den 'føderale no-fly list' fra omkring fire år tidligere.

'Serveren indeholdt data fra en 2019-version af den føderale flyveforbudsliste, der inkluderede for- og efternavne og fødselsdatoer,' sagde CommuteAirs Corporate Communications Manager Erik Kane. 'Derudover var visse CommuteAir-medarbejdere og flyoplysninger tilgængelige. Vi har indsendt anmeldelse til Cybersecurity and Infrastructure Security Agency, og vi fortsætter med en fuldstændig undersøgelse.'

CommuteAir er et regionalt flyselskab baseret i Ohio. I juni 2020 erstattede CommuteAir ExpressJet som luftfartsselskab for dets United Express Banner, en regional afdeling af United, som kører kortere flyvninger.

I bemærkninger til Daily Dot sagde crimew, at de havde gjort opdagelsen, mens de søgte efter Jenkins-servere på den specialiserede søgemaskine Shodan. Jenkins leverer automatiseringsservere, der hjælper med opbygning, test og implementering af software. Shodan bruges i hele cybersikkerhedsfællesskabet til at lokalisere servere, der er udsat for det åbne internet.

Serveren indeholdt også pasnumre, adresser og telefonnumre på omkring 900 virksomhedsansatte. Brugeroplysninger til mere end 40 Amazon S3-bøtter og servere drevet af CommuteAir blev også afsløret, sagde crimew.

Terrorism Screening Database er ifølge FBI en liste over personer, der deles på tværs af regeringsdepartementer for at forhindre den slags efterretningsbortfald, der fandt sted før 9/11. Inden for det er den mindre, mere stramt kontrollerede No Fly List. Personer i Terrorism Screening Database kan være underlagt visse restriktioner og få yderligere sikkerhedsscreening. Personer, der udtrykkeligt er på No Fly List, er udelukket fra at gå ombord på fly i USA.

'Dette land har et massivt, oppustet overvågningssystem, der kan stigmatisere folk - inklusive amerikanere - som kendte eller formodede terrorister baseret på hemmelige standarder og hemmelige beviser uden en meningsfuld proces til at udfordre regeringsfejl og rense deres navne,' sagde Shamsi. 'Kategorierne af mennesker, der er på overvågningslisten, ser ud til at udvide sig, aldrig indsnævre … Konsekvenserne er betydelige og har reel skade for folks liv. Der er den åbenlyse stigmatisering og forlegenhed og livets besværligheder ved at være ude af stand til at flyve i vores moderne tidsalder, at blive udpeget, at blive eftersøgt. Vi har haft mødre og fædre stigmatiseret og flov over for deres børn.'

Estimater af både Terrorism Screening Database og No Fly List har længe været lavet. Terrorism Screening Database blev anslået til at indeholde op til 1 million poster, med No Fly List efter sigende meget mindre.

Da CommuteAir blev spurgt om en afklaring, sagde CommuteAir, at det specifikt var No Fly List-undersættet, de var vært for, hvilket betyder, at det potentielt kan være meget større end tidligere rapporteret.

Men en ekspert, der er bekendt med konturerne af No Fly List, advarede om, at en liste i den størrelse kan være den større Terrorism Screening Database og ikke den mindre No Fly List.

The Intercept i 2014 tidligere rapporteret at No Fly List havde mere end 47.000 navne. I 2016 foreslog senator Dianne Feinstein (D-Calif.), at over 81.000 mennesker var på listen.

Selvom listen er yderst hemmelighedsfuld og sjældent lækker, betragtes den ikke som et klassificeret dokument på grund af antallet af agenturer og personer, der har brug for adgang til det.

I en erklæring til ACLU, G. Clayton Grigg, på det tidspunkt vicedirektør for operationer af Terrorist Screening Center, sagde at selvom listen indeholder klassificerede nationale sikkerhedsoplysninger, 'vedligeholdelse af TDSB som et følsomt, men uklassificeret system giver mulighed for retshåndhævende screeningsofficerer .... at bruge de identificerende oplysninger fra TSDB, selvom de måske ikke har hemmelige eller tophemmelige sikkerhedsgodkendelser.'

Opdagelsen af ​​crimew er ikke første gang, en usikret version af Terrorist Screening Database er blevet afsløret online. Sikkerhedsforsker Volodymyr 'Bob' Diachenko fandt en detaljeret kopi af overvågningsliste for terrorisme med 1,9 millioner tilmeldinger i 2021.

Navne givet til Diachenko af Daily Dot matchede poster på den liste, han fik, selvom Diachenko aldrig modtog officiel bekræftelse, at hans liste var ægte.

No Fly List er rutinemæssigt blevet kritiseret af eksperter i privatliv og borgerlige frihedsrettigheder. ACLU sagsøgte med succes for at give borgerne mulighed for at anfægte deres optagelse på listen. Der skal dog gøres mere arbejde for at forbedre gennemsigtigheden med listen, sagde Shamsi.

'Det er allerede et massivt og oppustet system, og vækst er præcis den slags ting, der sker, når man har et vagt og alt for bredt system af, hvad der i bund og grund er statslig overvågning baseret på mistanke og uden retfærdig proces ... I det mindste, hvis regeringen skal bruge overvågningslister, den skal have snævre og specifikke offentlige kriterier [for adgang] og anvende strenge offentlige procedurer for gennemgang, opdatering og fjernelse af tvivlsomme poster.'

  Daglig prik ikon   web_crawlr Vi gennemgår nettet, så du ikke behøver det. Tilmeld dig Daily Dot-nyhedsbrevet for at få det bedste og det værste af internettet i din indbakke hver dag. Lad mig læse den først