EKSKLUSIBO: Hindi sinasadyang inilantad ng U.S. airline ang ‘No Fly List’ sa hindi secure na server

EKSKLUSIBO: Hindi sinasadyang inilantad ng U.S. airline ang ‘No Fly List’ sa hindi secure na server
  TSA na may label na tape

trekandshoot/Shutterstock (Lisensyado)


optad_b

EKSKLUSIBO: Hindi sinasadyang inilantad ng U.S. airline ang ‘No Fly List’ sa hindi secure na server

Naiwan online ang isa sa mga pinakasensitibong dokumento ng gobyerno ng U.S.

Ang isang hindi secure na server na natuklasan ng isang security researcher noong nakaraang linggo ay naglalaman ng mga pagkakakilanlan ng daan-daang libong indibidwal mula sa Terrorist Screening Database ng gobyerno ng U.S. at 'No Fly List.'

Matatagpuan ng Swiss hacker na kilala bilang maia arson crimew, ang server, na pinamamahalaan ng pambansang airline ng U.S. na CommuteAir, ay naiwang nakalabas sa pampublikong internet. Nagsiwalat ito ng napakaraming data ng kumpanya, kabilang ang pribadong impormasyon sa halos 1,000 empleyado ng CommuteAir.



Ang pagsusuri sa server ay nagresulta sa pagkatuklas ng isang text file na pinangalanang 'NoFly.csv,' isang reference sa subset ng mga indibidwal sa Terrorist Screening Database na pinagbawalan sa paglalakbay sa himpapawid dahil sa pagkakaroon ng pinaghihinalaang o alam na kaugnayan sa mga organisasyong terorista.

Ang listahan, ayon sa crimew, ay lumilitaw na mayroong higit sa 1.5 milyong mga entry sa kabuuan. Kasama sa data ang mga pangalan pati na rin ang mga petsa ng kapanganakan. Kasama rin dito ang maraming alyas, na naglalagay ng bilang ng mga natatanging indibidwal sa mas mababa sa 1.5 milyon.

Nasa listahan ang ilang kilalang tao, kabilang ang kamakailang napalaya na Russian arms dealer na si Viktor Bout, kasama ang mahigit 16 na potensyal na alyas para sa kanya.

Ang mga alias ay binubuo ng iba't ibang, karaniwang maling spelling ng kanyang apelyido at iba pang bersyon ng kanyang unang pangalan, pati na rin ang iba't ibang kaarawan. Marami sa mga kaarawan na naaayon sa naitala na petsa kung kailan ipinanganak si Bout.



Ang mga hinihinalang miyembro ng IRA, ang Irish paramilitary organization, ay nasa listahan din.

Ang isa pang indibidwal, ayon sa crimew, ay nakalista bilang 8 taong gulang batay sa kanilang taon ng kapanganakan.

Maraming mga entry sa listahan ay mga pangalan na lumilitaw na may lahing Arabic o Middle Eastern, bagama't nasa listahan din ang mga pangalang Hispanic at Anglican na tunog. Maraming pangalan ang may kasamang mga alias na karaniwang maling spelling o bahagyang binagong bersyon ng kanilang mga pangalan.

'Nakakabaliw lang sa akin kung gaano kalaki ang Terrorism Screening Database na iyon at mayroon pa ring napakalinaw na mga uso patungo sa halos eksklusibong Arabic at Russian na tunog na mga pangalan sa buong milyong mga entry,' sabi ni crimew.

'Sa nakalipas na 20 taon, ang mga mamamayan ng U.S. na nakita naming naka-target para sa watchlist ay hindi katimbang Muslim at mga taong may lahing Arab o Middle Eastern at South Asian,' sabi ni Hina Shamsi, direktor ng National Security Project sa American Civil Liberties (ACLU). ). 'Minsan ang mga tao na hindi sumasang-ayon o may nakikitang hindi sikat na pananaw. Nakita rin namin ang mga mamamahayag na naka-watchlist.'

Sa isang pahayag sa Daily Dot, sinabi ng TSA na ito ay 'alam sa isang potensyal na insidente sa cybersecurity sa CommuteAir, at kami ay nag-iimbestiga sa pakikipag-ugnayan sa aming mga pederal na kasosyo.'



Tumanggi ang FBI na sagutin ang mga partikular na tanong tungkol sa listahan sa Daily Dot.

Sa isang pahayag sa Daily Dot, sinabi ng CommuteAir na ang nakalantad na imprastraktura, na inilarawan nito bilang isang development server, ay ginamit para sa mga layunin ng pagsubok.

Idinagdag ng CommuteAir na ang server, na kinuha offline bago ang publikasyon pagkatapos na ma-flag ng Daily Dot, ay hindi naglantad ng anumang impormasyon ng customer batay sa isang paunang pagsisiyasat.

Kinumpirma rin ng CommuteAir ang pagiging lehitimo ng data, na nagsasaad na ito ay isang bersyon ng 'federal no-fly list' mula humigit-kumulang apat na taon bago.

'Ang server ay naglalaman ng data mula sa isang 2019 na bersyon ng pederal na listahan ng no-fly na kasama ang mga pangalan at apelyido at petsa ng kapanganakan,' sabi ni CommuteAir Corporate Communications Manager Erik Kane. 'Sa karagdagan, ang ilang empleyado ng CommuteAir at impormasyon ng flight ay naa-access. Nagsumite kami ng abiso sa Cybersecurity and Infrastructure Security Agency at nagpapatuloy kami sa isang buong pagsisiyasat.

Ang CommuteAir ay isang panrehiyong airline na nakabase sa labas ng Ohio. Noong Hunyo 2020, pinalitan ng CommuteAir ang ExpressJet bilang carrier para sa United Express Banner nito, isang panrehiyong sangay ng United, na nagpapatakbo ng mas maiikling flight.

Sa mga pahayag sa Daily Dot, sinabi ng crimew na ginawa nila ang pagtuklas habang naghahanap ng mga server ng Jenkins sa dalubhasang search engine na Shodan. Nagbibigay ang Jenkins ng mga automation server na tumutulong sa pagbuo, pagsubok, at pag-deploy ng software. Ginagamit ang Shodan sa buong komunidad ng cybersecurity upang mahanap ang mga server na nakalantad sa bukas na internet.

Hawak din ng server ang mga numero ng pasaporte, address, at numero ng telepono ng humigit-kumulang 900 empleyado ng kumpanya. Nalantad din ang mga kredensyal ng user sa higit sa 40 Amazon S3 bucket at server na pinapatakbo ng CommuteAir, sabi ng crimew.

Ang Terrorism Screening Database, ayon sa FBI, ay isang listahan ng mga indibidwal na ibinahagi sa mga departamento ng gobyerno upang maiwasan ang uri ng intelligence lapses na naganap bago ang 9/11. Sa loob nito ay ang mas maliit, mas mahigpit na kinokontrol na No Fly List. Ang mga indibidwal sa Terrorism Screening Database ay maaaring sumailalim sa ilang partikular na paghihigpit at bigyan ng karagdagang security screening. Ang mga indibidwal na tahasang nasa No Fly List ay pinagbabawalan sa pagsakay sa sasakyang panghimpapawid sa United States.

'Ang bansang ito ay may isang napakalaking, namumulaklak na sistema ng watchlisting na maaaring magbigay ng stigmatize sa mga tao-kabilang ang mga Amerikano-bilang kilala o pinaghihinalaang mga terorista batay sa mga lihim na pamantayan at lihim na ebidensya na walang makabuluhang proseso upang hamunin ang pagkakamali ng gobyerno at linisin ang kanilang mga pangalan,' sabi ni Shamsi. “Ang mga kategorya ng mga taong binabantayan ay tila bawat lumalawak, hindi kailanman pumipigil … Ang mga kahihinatnan ay makabuluhan at may tunay na pinsala sa buhay ng mga tao. Nariyan ang halatang stigma at kahihiyan at kahirapan sa buhay na hindi makakalipad sa ating modernong panahon, sa pagiging isa-isa, sa paghahanap. Nagkaroon kami ng mga ina at ama na pinahiya at pinahiya sa harap ng kanilang mga anak.

Matagal nang ginawa ang mga pagtatantya ng Terrorism Screening Database at ng No Fly List. Ang Terrorism Screening Database ay tinatayang naglalaman ng hanggang 1 milyong mga entry, na ang No Fly List ay naiulat na mas maliit.

Nang tanungin para sa paglilinaw, sinabi ng CommuteAir na ito ay partikular na ang No Fly List subset na kanilang na-host, na nangangahulugang ito ay maaaring maging mas malaki kaysa sa naunang naiulat.

Ngunit ang isang eksperto na pamilyar sa mga contour ng No Fly List ay nagbabala na ang isang listahan na ang laki ay maaaring ang mas malaking Terrorism Screening Database at hindi ang mas maliit na No Fly List.

The Intercept noong 2014 naunang iniulat na ang No Fly List ay mayroong higit sa 47,000 mga pangalan. Noong 2016, iminungkahi ni Sen. Dianne Feinstein (D-Calif.). 81,000 katao ay nasa listahan.

Bagama't napakalihim at bihirang tumagas ang listahan, hindi ito itinuturing na isang classified na dokumento dahil sa bilang ng mga ahensya at indibidwal na nangangailangan ng access dito.

Sa isang deklarasyon sa ACLU, si G. Clayton Grigg, noong panahong ang Deputy Director for Operations ng Terrorist Screening Center, sabi na habang ang listahan ay naglalaman ng classified national security information, “ang pagpapanatili sa TDSB bilang isang sensitibo ngunit hindi natukoy na sistema ay nagbibigay-daan para sa mga opisyal ng screening ng pagpapatupad ng batas …. na gamitin ang nagpapakilalang impormasyon mula sa TSDB kahit na hindi sila nagtataglay ng mga Lihim o Nangungunang Lihim na seguridad clearance.'

Ang pagtuklas ng crimew ay hindi ang unang pagkakataon na nalantad online ang isang hindi secure na bersyon ng Terrorist Screening Database. Nakahanap ang security researcher na si Volodymyr “Bob” Diachenko ng isang detalyadong kopya ng terrorism watchlist na may 1.9 milyong entry noong 2021.

Ang mga pangalan na ibinigay kay Diachenko ng Daily Dot ay tumugma sa mga entry sa listahan na nakuha niya, kahit na hindi nakatanggap si Diachenko ng opisyal na kumpirmasyon na ang kanyang listahan ay tunay.

Ang No Fly List ay regular na pinupuna ng mga eksperto sa privacy at civil liberties. Ang ACLU ay matagumpay na nagdemanda upang payagan ang mga mamamayan na hamunin ang kanilang pagsasama sa listahan. Gayunpaman, mas maraming trabaho ang kailangang gawin upang mapabuti ang transparency sa listahan, sinabi ni Shamsi.

“Ito ay isa nang napakalaking at lumo na sistema, at ang paglago ay eksaktong uri ng bagay na nangyayari kapag mayroon kang malabo at napakalawak na sistema ng kung ano ang mahalagang pagsubaybay ng gobyerno batay sa hinala at walang angkop na proseso ... Sa pinakamababa, kung ang ang gobyerno ay dapat gumamit ng mga watchlist, dapat itong magkaroon ng makitid at tiyak na pampublikong pamantayan [para sa pagpasok] at maglapat ng mahigpit na pampublikong pamamaraan para sa pagrepaso, pag-update, at pag-alis ng mga kahina-hinalang entry.”

  Icon ng Araw-araw na Dot   web_crawlr Kinu-crawl namin ang web para hindi mo na kailanganin. Mag-sign up para sa Daily Dot newsletter upang makuha ang pinakamahusay at pinakamasama sa internet sa iyong inbox araw-araw. Basahin ko muna