EKSKLUZIVNO: Američki zračni prijevoznik slučajno otkriva 'No Fly List' na nezaštićenom poslužitelju

EKSKLUZIVNO: Američki zračni prijevoznik slučajno otkriva 'No Fly List' na nezaštićenom poslužitelju
  Traka s oznakom TSA

trekandshoot/Shutterstock (Licencirano)


optad_b

EKSKLUZIVNO: Američki zračni prijevoznik slučajno otkriva 'No Fly List' na nezaštićenom poslužitelju

Jedan od najosjetljivijih dokumenata američke vlade ostavljen je na internetu.

Neosigurani poslužitelj koji je prošlog tjedna otkrio sigurnosni istraživač sadržavao je identitete stotina tisuća pojedinaca iz baze podataka američke vlade za provjeru terorista i 'No Fly List'.

Lociran od strane švicarskog hakera poznatog kao maia arson crimew, poslužitelj, kojim upravlja američki nacionalni zrakoplovni prijevoznik CommuteAir, ostao je izložen na javnom internetu. Otkrio je golemu količinu podataka o tvrtki, uključujući privatne podatke o gotovo 1000 zaposlenika CommuteAira.



Analiza poslužitelja rezultirala je otkrićem tekstualne datoteke pod nazivom 'NoFly.csv', referencom na podskup pojedinaca u bazi podataka za provjeru terorizma kojima je zabranjeno putovanje zrakoplovom zbog sumnje ili saznanja o povezanosti s terorističkim organizacijama.

Čini se da popis, prema Crimewu, ukupno ima više od 1,5 milijuna unosa. Podaci su uključivali imena kao i datume rođenja. Također je uključivao više pseudonima, čime je broj jedinstvenih pojedinaca daleko manji od 1,5 milijuna.

Na popisu je bilo nekoliko značajnih osoba, uključujući nedavno oslobođenog ruskog trgovca oružjem Viktora Bouta, uz preko 16 njegovih potencijalnih aliasa.

Aliasi su se sastojali od različitih, uobičajenih pravopisnih pogrešaka njegovog prezimena i drugih verzija njegovog imena, kao i različitih rođendana. Mnogi rođendani usklađeni su s zabilježenim datumom Boutovog rođenja.



Na popisu su bili i osumnjičeni pripadnici IRA-e, irske paravojne organizacije.

Još jedna osoba, prema Crimewu, navedena je kao stara 8 godina na temelju godine rođenja.

Mnogi zapisi na popisu bila su imena za koja se činilo da su arapskog ili bliskoistočnog podrijetla, iako su na popisu bila i imena koja zvuče hispano i anglikanski. Brojna imena uključivala su pseudonime koji su često pogrešno napisani ili malo izmijenjene verzije njihovih imena.

'Meni je jednostavno ludo koliko je velika ta baza podataka za provjeru terorizma, a opet postoje vrlo jasni trendovi prema tome da imena koja zvuče gotovo isključivo na arapskom i ruskom jeziku u milijunima unosa', rekao je Crimew.

“Tijekom posljednjih 20 godina, građani SAD-a koje smo vidjeli da su stavljeni na popis za promatranje nerazmjerno su muslimani i ljudi arapskog ili bliskoistočnog i južnoazijskog podrijetla,” rekla je Hina Shamsi, direktorica Projekta nacionalne sigurnosti pri American Civil Liberties (ACLU). ). “Ponekad su ljudi ti koji se ne slažu ili imaju ono što se smatra nepopularnim stavovima. Također smo vidjeli novinare na popisu za promatranje.'

U izjavi za Daily Dot, TSA je rekao da je 'svjestan mogućeg kibersigurnosnog incidenta s CommuteAirom i da istražujemo u suradnji s našim federalnim partnerima'.



FBI je za Daily Dot odbio odgovoriti na konkretna pitanja o popisu.

U izjavi za Daily Dot, CommuteAir je rekao da je izložena infrastruktura, koju je opisao kao razvojni poslužitelj, korištena u svrhu testiranja.

CommuteAir je dodao da poslužitelj, koji je isključen prije objavljivanja nakon što ga je označio Daily Dot, nije izložio nikakve informacije o klijentima na temelju početne istrage.

CommuteAir je također potvrdio legitimnost podataka, navodeći da se radi o verziji 'savezne liste zabranjenih letova' od prije otprilike četiri godine.

'Poslužitelj je sadržavao podatke s verzije savezne liste zabrane leta iz 2019. koja je uključivala imena i prezimena te datume rođenja', rekao je Erik Kane, voditelj korporativnih komunikacija CommuteAira. “Osim toga, određene informacije o zaposlenicima i letovima CommuteAira bile su dostupne. Poslali smo obavijest Agenciji za kibernetičku sigurnost i sigurnost infrastrukture i nastavljamo s potpunom istragom.”

CommuteAir je regionalni zračni prijevoznik sa sjedištem u Ohiju. U lipnju 2020. CommuteAir je zamijenio ExpressJet kao prijevoznika za svoj United Express Banner, regionalni ogranak Uniteda, koji ima kraće letove.

U primjedbama za Daily Dot, Crimew je rekao da su otkrili dok su tražili Jenkinsove servere na specijaliziranoj tražilici Shodan. Jenkins pruža poslužitelje za automatizaciju koji pomažu u izgradnji, testiranju i implementaciji softvera. Shodan se koristi u cijeloj zajednici kibernetičke sigurnosti za lociranje poslužitelja izloženih otvorenom internetu.

Poslužitelj je također sadržavao brojeve putovnica, adrese i telefonske brojeve otprilike 900 zaposlenika tvrtke. Korisničke vjerodajnice za više od 40 Amazon S3 spremnika i poslužitelja koje vodi CommuteAir također su bile izložene, rekao je Crimew.

Baza podataka za provjeru terorizma, prema FBI-u, popis je pojedinaca koji se dijeli među vladinim odjelima kako bi se spriječili propusti u obavještajnim podacima koji su se dogodili prije 11. rujna. Unutar toga je manja, strože kontrolirana lista zabrane leta. Pojedinci u bazi podataka za provjeru terorizma mogu biti podvrgnuti određenim ograničenjima i dodatnoj sigurnosnoj provjeri. Pojedincima koji su izričito na listi zabranjenih letova zabranjen je ukrcaj u zrakoplov u Sjedinjenim Državama.

'Ova zemlja ima golemi, napuhan sustav praćenja koji može stigmatizirati ljude - uključujući Amerikance - kao poznate ili osumnjičene teroriste na temelju tajnih standarda i tajnih dokaza bez smislenog procesa za osporavanje pogreške vlade i brisanje njihovih imena', rekao je Shamsi. “Čini se da se kategorije ljudi na popisu za promatranje sve više šire, nikad ne sužavaju... Posljedice su značajne i imaju stvarnu štetu za živote ljudi. Postoji očita stigma i neugodnost i životne poteškoće zbog nemogućnosti letjeti u naše moderno doba, zbog toga što nas izdvajaju, što nas traže. Imali smo majke i očeve stigmatizirane i posramljene pred svojom djecom.”

Procjene i baze podataka za provjeru terorizma i popisa zabranjenih letova odavno su napravljene. Procjenjuje se da baza podataka za provjeru terorizma sadrži do 1 milijun unosa, dok je popis zabranjenih letova navodno mnogo manji.

Kada su upitani za pojašnjenje, CommuteAir je rekao da je to konkretno bio podskup No Fly List koji su oni ugostili, što znači da bi potencijalno mogao biti puno veći nego što je ranije objavljeno.

No stručnjak upoznat s obrisima Popisa zabranjenog leta upozorio je da bi popis te veličine mogao biti veća baza podataka za provjeru terorizma, a ne manji List zabranjenog leta.

Intercept iz 2014 prethodno objavljeno da je No Fly List sadržavao više od 47 000 imena. Godine 2016. senatorica Dianne Feinstein (D-Calif.) predložila je da se prekine 81.000 ljudi bili na popisu.

Iako je popis vrlo tajnovit i rijetko curi, ne smatra se povjerljivim dokumentom zbog broja agencija i pojedinaca koji mu trebaju pristup.

U izjavi ACLU-u, G. Clayton Grigg, u to vrijeme zamjenik direktora za operacije Centra za provjeru terorizma, rekao je da iako popis sadrži povjerljive informacije o nacionalnoj sigurnosti, “održavanje TDSB-a kao osjetljivog, ali neklasificiranog sustava omogućuje provjeru službenika za provođenje zakona …. koristiti podatke za identifikaciju iz TSDB-a iako možda nemaju tajne ili strogo povjerljive sigurnosne dozvole.”

Crimewovo otkriće nije prvi put da je nezaštićena verzija baze podataka za provjeru terorizma izložena na internetu. Istraživač sigurnosti Volodymyr 'Bob' Diachenko pronašao je detaljnu kopiju popis za praćenje terorizma s 1,9 milijuna unosa u 2021.

Imena koja je Diachenku dostavio Daily Dot podudaraju se s unosima na popisu koji je dobio, iako Diachenko nikada nije dobio službenu potvrdu da je njegov popis autentičan.

No Fly List rutinski je kritiziran od strane stručnjaka za privatnost i građanske slobode. ACLU je uspješno pokrenuo tužbu kako bi omogućio građanima da ospore svoje uključivanje na popis. Međutim, potrebno je više raditi na poboljšanju transparentnosti popisa, rekao je Shamsi.

'To je već golemi i napuhani sustav, a rast je upravo onakva stvar koja se događa kada imate nejasan i preširok sustav onoga što je u biti vladin nadzor temeljen na sumnji i bez odgovarajućeg postupka... U najmanju ruku, ako vlada treba koristiti popise za praćenje, mora imati uske i specifične javne kriterije [za ulazak] i primijeniti rigorozne javne procedure za pregled, ažuriranje i uklanjanje sumnjivih unosa.”

  Ikona dnevne točke   web_crawlr Mi indeksiramo web tako da vi ne morate. Prijavite se za bilten Daily Dot kako biste svaki dan primali najbolje i najgore od interneta u svoju pristiglu poštu. Daj da ga prvo pročitam