Незащищенный сервер, обнаруженный исследователем безопасности на прошлой неделе, содержал личные данные сотен тысяч людей из базы данных правительства США по отбору террористов и "Списка нелетающих".
Обнаруженный швейцарским хакером, известным как maia arson crimew, сервер, управляемый национальной авиакомпанией США CommuteAir, был оставлен в открытом доступе в Интернете. На нем было обнаружено огромное количество данных компании, включая частную информацию о почти 1 000 сотрудников CommuteAir.
В результате анализа сервера был обнаружен текстовый файл под названием "NoFly.csv" - ссылка на подгруппу лиц в базе данных террористического скрининга, которым запрещены авиаперелеты из-за подозрений или известных связей с террористическими организациями.
По данным crimew, список насчитывал в общей сложности более 1,5 миллиона записей. Данные включали имена и фамилии, а также даты рождения. В список также включены многочисленные псевдонимы, поэтому число уникальных лиц намного меньше 1,5 миллиона.
В список попали несколько известных личностей, в том числе недавно освобожденный российский торговец оружием Виктор Бут, а также более 16 потенциальных псевдонимов для него.
Псевдонимы включали различные, часто встречающиеся неправильные написания его фамилии и другие варианты его имени, а также различные дни рождения. Многие дни рождения совпадали с зарегистрированной датой рождения Бута.
В список также попали подозреваемые члены ИРА, ирландской военизированной организации.
Еще один человек, по данным crimew, был указан в списке как 8-летний, исходя из года рождения.
Многие имена в списке были арабского или ближневосточного происхождения, хотя в списке также были латиноамериканские и англиканские имена. Многие имена включали псевдонимы, которые представляли собой обычные опечатки или слегка измененные варианты их имен.
"Меня просто поражает, насколько велика эта база данных Terrorism Screening Database, и, тем не менее, среди миллиона записей все еще прослеживается четкая тенденция к тому, что имена звучат почти исключительно по-арабски и по-русски", - сказал Кримью.
"За последние 20 лет граждане США, которые, как мы видим, стали объектом слежки, в непропорционально большой степени мусульмане и люди арабского, ближневосточного и южно-азиатского происхождения", - сказала Хина Шамси, директор проекта по национальной безопасности Американского союза защиты гражданских свобод (ACLU). "Иногда это люди, которые инакомыслят или придерживаются непопулярных взглядов. Мы также видели журналистов
В заявлении для Daily Dot TSA сообщило, что ему "известно о потенциальном инциденте кибербезопасности с CommuteAir, и мы проводим расследование в координации с нашими федеральными партнерами".
ФБР отказалось отвечать на конкретные вопросы Daily Dot о списке.
В заявлении для Daily Dot компания CommuteAir сообщила, что открытая инфраструктура, которую она описала как сервер разработки, использовалась в целях тестирования.
CommuteAir добавила, что сервер, который был отключен до публикации после того, как Daily Dot обратил на него внимание, не раскрывал никакой информации о клиентах, как показало первоначальное расследование.
CommuteAir также подтвердила легитимность данных, заявив, что это была версия "федерального списка, запрещенного к полетам", составленная примерно за четыре года до этого.
"На сервере содержались данные из версии федерального запрещенного списка 2019 года, которые включали имена, фамилии и даты рождения", - сказал менеджер по корпоративным коммуникациям CommuteAir Эрик Кейн. "Кроме того, была доступна информация о некоторых сотрудниках CommuteAir и рейсах. Мы направили уведомление в Агентство по кибербезопасности и инфраструктурной безопасности и продолжаем полное расследование".
CommuteAir - региональная авиакомпания, базирующаяся в штате Огайо. В июне 2020 года CommuteAir заменила ExpressJet в качестве перевозчика для United Express Banner, регионального отделения United, выполняющего более короткие рейсы.
В своем комментарии для Daily Dot криминалисты заявили, что сделали это открытие во время поиска серверов Jenkins в специализированной поисковой системе Shodan. Jenkins предоставляет серверы автоматизации, которые помогают в создании, тестировании и развертывании программного обеспечения. Shodan используется в сообществе кибербезопасности для поиска серверов, находящихся в открытом доступе в Интернете.
На сервере также хранились номера паспортов, адреса и номера телефонов примерно 900 сотрудников компании. Учетные данные пользователей более чем 40 ведер Amazon S3 и серверов CommuteAir также были раскрыты, сказал Кримью.
База данных террористического скрининга, по данным ФБР, представляет собой список лиц, которые совместно используются правительственными ведомствами для предотвращения таких провалов в разведке, которые имели место до 11 сентября. Внутри этой базы находится более узкий и жестко контролируемый список лиц, запрещенных к полетам. На лиц, включенных в базу данных по скринингу терроризма, могут накладываться определенные ограничения и проводиться дополнительная проверка безопасности. Лицам, включенным в список лиц, запрещенных к полетам, запрещено садиться на самолеты в Соединенных Штатах.
"В нашей стране существует массивная, раздутая система "списков наблюдения", которая может клеймить людей - включая американцев - как известных или подозреваемых террористов на основе секретных стандартов и секретных доказательств без значимого процесса оспаривания ошибок правительства и очищения их имен", - сказал Шамси. "Категории людей, за которыми ведется наблюдение, кажутся все расширяющимися, никогда не сужающимися... Последствия этого значительны и наносят реальный вред жизни людей. Это и очевидное клеймо, и смущение, и жизненные трудности, связанные с невозможностью летать в наш современный век, с тем, что их выделяют, что их обыскивают. У нас были матери и отцы, которых клеймили позором и стыдили перед их детьми".
В течение длительного времени проводились оценки как базы данных проверки на терроризм, так и списка нелетающих пассажиров. По оценкам, база данных по проверке на терроризм содержит до 1 миллиона записей, а список нелетающих пассажиров, по сообщениям, гораздо меньше.
Когда компанию CommuteAir попросили дать разъяснения, она заявила, что у них хранится именно подмножество "Списка запрещенных полетов", что означает, что потенциально оно может быть гораздо больше, чем сообщалось ранее.
Однако эксперт, знакомый с контурами "Списка нелетающих", предупредил, что список такого размера может быть более крупной базой данных по скринингу терроризма, а не более мелким "Списком нелетающих".
Издание The Intercept в 2014 году ранее сообщало, что в No Fly List содержится более 47 000 имен. В 2016 году сенатор Дайэнн Файнстайн (Dianne Feinstein, D-Calif.) предположила, что в списке находится более 81 000 человек.
Хотя список является крайне секретным и редко подвергается утечке, он не считается секретным документом из-за количества агентств и лиц, которым необходим доступ к нему.
В своем заявлении в ACLU Г. Клейтон Григг, в то время заместитель директора по оперативной работе Центра отбора террористов, сказал, что хотя список содержит секретную информацию о национальной безопасности, "сохранение TDSB в качестве секретной, но несекретной системы позволяет сотрудникам правоохранительных органов .... использовать идентификационную информацию из TSDB, даже если они не обладают секретными или совершенно секретными допусками".
Находка crimew - это не первый случай, когда незащищенная версия базы данных Terrorist Screening Database была раскрыта в Интернете. Исследователь безопасности Владимир "Боб" Дьяченко нашел подробную копию списка террористов с 1,9 миллионами записей в 2021 году.
Имена, предоставленные Дьяченко изданием Daily Dot, совпали с записями в полученном им списке, хотя Дьяченко так и не получил официального подтверждения подлинности своего списка.
Список нелетающих пассажиров регулярно подвергается критике со стороны экспертов по защите частной жизни и гражданских свобод. ACLU успешно подал иск, чтобы граждане могли оспорить свое включение в список. Однако, по словам Шамси, необходимо проделать большую работу для повышения прозрачности списка.
"Это уже массивная и раздутая система, и ее рост - это именно то, что происходит, когда у вас есть расплывчатая и слишком широкая система того, что по сути является правительственной слежкой, основанной на подозрениях и без надлежащей правовой процедуры... Как минимум, если правительство собирается использовать списки, оно должно иметь узкие и конкретные публичные критерии [для включения] и применять строгие публичные процедуры для рассмотрения, обновления и удаления сомнительных записей".
Источник: https://www.dailydot.com/debug/no-fly-list-us-tsa-unprotected-server-commuteair/
