美國涉恐禁飛名單被公開泄露
近日,美國交通安全管理局(TSA)兩個包含超過150萬條涉恐禁飛人員和25萬條“二級安檢選中者”人員信息的禁飛名單被黑客在論壇公開泄露。
據BleepingComputer報道,黑客論壇泄露的禁飛名單與數日前美國航空公司CommuteAir服務器上公開暴露的TSA禁飛名單相同。
涉恐禁飛名單先暴露后泄露
1月21日,據Daily Dot記者Mikael Thalen報道,一位瑞士年輕女黑客maia arson crimew使用知道創宇的鐘馗之眼(Zoomeye)搜索Jenkins服務器時偶然發現了一個配置錯誤的亞馬遜AWS服務器,其中包含2019年版TSA禁飛名單(共三個CSV文件,除了“禁飛名單”和“二級安檢選中者名單”外還包括一個包含CommuteAir員工個人身份信息的數據庫。)。
存在安全漏洞的(測試)服務器屬于俄亥俄州的區域航空公司CommuteAir。盡管該公司在獲悉名單泄露后采取了各種防泄漏補救措施,但由于該瑞士黑客已經與多位安全人士、媒體和人權機構分享該名單,最終在1月26日,禁飛名單出現在一個可公開訪問的黑客論壇上:
在黑客論壇公開的TSA禁飛名單
BleepingComputer核實多個消息來源后證實,黑客論壇上公開泄露的名單與瑞士黑客最近在CommuteAir服務器上發現的禁飛名單相同。包含兩個CSV文件,名為“NOFLY”(禁飛)和“SELECTEE”(二級安檢選中者)。后一份名單中的乘客飛往美國時在機場將接受二級安全檢查選擇(SSSS)。
黑客論壇上發布的禁飛名單大小接近80MB,包含超過156萬條記錄,包括一些姓名的重復/拼寫變體。“入選者”名單包含超過25萬條記錄。列表中存在大量重復項和別名,初步估計涉及人員總數少于1萬人。
兩個名單中的個人信息包含名字、姓氏、可能的別名和出生日期。
據Daily Dot報道,該禁飛名單包括俄羅斯軍火商維克多·布特(Viktor Bout)以及他的16個潛在假身份。
聯邦調查局的TSC(恐怖分子篩查中心)被多個美國聯邦機構用來管理和共享用于反恐目的的綜合信息。該機構維護著一個名為恐怖分子篩查數據庫的觀察名單,有時也被稱為“禁飛名單”。
這些數據庫是秘密的,即使不算“機密”,也被認為是非常敏感的信息,因為它們在協助國家安全和執法任務方面發揮著至關重要的作用。構成美國國家安全風險的恐怖分子或嫌疑人被“提名”列入秘密觀察名單,由政府自行決定。
禁飛名單通常不為公眾所知。然而,私人航空公司和多個機構(如國務院、國防部、運輸安全局(TSA)和海關和邊境保護局(CBP))引用了該名單,以檢查乘客是否被允許飛行、不允許進入美國或評估他們從事各種其他活動的風險。
2021年8月份,安全研究人員鮑勃·迪亞琴科(Bob Diachenko)曾發現互聯網上暴露的TSC恐怖分子觀察名單,但這些泄漏早在主流新聞報道之前就已經修補了。然而,這是首次在可公開訪問的網站上泄露此類名單。
有趣的是,Diachenko在2021年發現的恐怖分子觀察名單的信息比近日公開泄露的禁飛名單更加詳細,包含姓名、性別、護照號碼以及簽發國家、TSC ID、監視名單ID等字段。
或上升為重大美國國家安全事件
禁飛名單泄露只是問題的冰山一角,黑客在個人博客上披露她事實上能夠“通過三個簡單步驟在半小時內完全搞定一家航空公司”,通過SOAP API完成加油、取消航班甚至調換機組人員的操作。此事讓美國政府機構顏面盡失,相關政府官員和立法者已經展開調查問責工作。
根據TSA的一份聲明,TSA于1月27日緊急向全美機場和航空公司發布了安全指令,提高了處理敏感安全信息和個人身份信息的現有要求。TSA還向所有航空公司發送行業安全意識信息,敦促審查信息系統并立即采取行動以確保數據安全。
種種跡象表明,禁飛名單泄露事件很可能已經上升為重大美國國家安全問題。
美國國會議員丹·畢曉普(Dan Bishop)和國土安全委員會主席馬克·格林(Mark Green)博士近日致信TSA局長大衛·彼得·佩科斯克(David Peter Pekoske),要求徹查此事。
信中指出:“黑客聲稱他們可能已經能夠利用對服務器的訪問權限來取消或延遲航班,甚至更換機組人員。如果該情況屬實,其對國家安全的影響是令人擔憂的…運輸系統部門是美國16個關鍵基礎設施部門之一。如此重要的數據庫的安全問題事關網絡安全,航空安全以及公民權利和自由。”
最后,值得注意的是,發現(并涉嫌泄露)禁飛名單的瑞士女黑客maia arson crimew(曾用別名deletescape、antiproprietary和Tillie Kottmann)并非正經的安全研究人員,此人早些時候曾被美國大陪審團起訴陰謀、電匯欺詐和嚴重的身份盜竊指控。
該黑客以前還參與了針對監控設備商Verkada黑客攻擊,未經授權查看特斯拉、Cloudflare等Verkada客戶的辦公室安全攝像頭。
