近日,美国交通安全管理局(TSA)两个包含超过150万条涉恐禁飞人员和25万条“二级安检选中者”人员信息的禁飞名单被黑客在论坛公开泄露。
据BleepingComputer报道,黑客论坛泄露的禁飞名单与数日前美国航空公司CommuteAir服务器上公开暴露的TSA禁飞名单相同。
涉恐禁飞名单先暴露后泄露
1月21日,据Daily Dot记者Mikael Thalen报道,一位瑞士年轻女黑客maia arson crimew使用知道创宇的钟馗之眼(Zoomeye)搜索Jenkins服务器时偶然发现了一个配置错误的亚马逊AWS服务器,其中包含2019年版TSA禁飞名单(共三个CSV文件,除了“禁飞名单”和“二级安检选中者名单”外还包括一个包含CommuteAir员工个人身份信息的数据库。)。
存在安全漏洞的(测试)服务器属于俄亥俄州的区域航空公司CommuteAir。尽管该公司在获悉名单泄露后采取了各种防泄漏补救措施,但由于该瑞士黑客已经与多位安全人士、媒体和人权机构分享该名单,最终在1月26日,禁飞名单出现在一个可公开访问的黑客论坛上:
在黑客论坛公开的TSA禁飞名单
BleepingComputer核实多个消息来源后证实,黑客论坛上公开泄露的名单与瑞士黑客最近在CommuteAir服务器上发现的禁飞名单相同。包含两个CSV文件,名为“NOFLY”(禁飞)和“SELECTEE”(二级安检选中者)。后一份名单中的乘客飞往美国时在机场将接受二级安全检查选择(SSSS)。
黑客论坛上发布的禁飞名单大小接近80MB,包含超过156万条记录,包括一些姓名的重复/拼写变体。“入选者”名单包含超过25万条记录。列表中存在大量重复项和别名,初步估计涉及人员总数少于1万人。
两个名单中的个人信息包含名字、姓氏、可能的别名和出生日期。
据Daily Dot报道,该禁飞名单包括俄罗斯军火商维克多·布特(Viktor Bout)以及他的16个潜在假身份。
联邦调查局的TSC(恐怖分子筛查中心)被多个美国联邦机构用来管理和共享用于反恐目的的综合信息。该机构维护着一个名为恐怖分子筛查数据库的观察名单,有时也被称为“禁飞名单”。
这些数据库是秘密的,即使不算“机密”,也被认为是非常敏感的信息,因为它们在协助国家安全和执法任务方面发挥着至关重要的作用。构成美国国家安全风险的恐怖分子或嫌疑人被“提名”列入秘密观察名单,由政府自行决定。
禁飞名单通常不为公众所知。然而,私人航空公司和多个机构(如国务院、国防部、运输安全局(TSA)和海关和边境保护局(CBP))引用了该名单,以检查乘客是否被允许飞行、不允许进入美国或评估他们从事各种其他活动的风险。
2021年8月份,安全研究人员鲍勃·迪亚琴科(Bob Diachenko)曾发现互联网上暴露的TSC恐怖分子观察名单,但这些泄漏早在主流新闻报道之前就已经修补了。然而,这是首次在可公开访问的网站上泄露此类名单。
有趣的是,Diachenko在2021年发现的恐怖分子观察名单的信息比近日公开泄露的禁飞名单更加详细,包含姓名、性别、护照号码以及签发国家、TSC ID、监视名单ID等字段。
或上升为重大美国国家安全事件
禁飞名单泄露只是问题的冰山一角,黑客在个人博客上披露她事实上能够“通过三个简单步骤在半小时内完全搞定一家航空公司”,通过SOAP API完成加油、取消航班甚至调换机组人员的操作。此事让美国政府机构颜面尽失,相关政府官员和立法者已经展开调查问责工作。
根据TSA的一份声明,TSA于1月27日紧急向全美机场和航空公司发布了安全指令,提高了处理敏感安全信息和个人身份信息的现有要求。TSA还向所有航空公司发送行业安全意识信息,敦促审查信息系统并立即采取行动以确保数据安全。
种种迹象表明,禁飞名单泄露事件很可能已经上升为重大美国国家安全问题。
美国国会议员丹·毕晓普(Dan Bishop)和国土安全委员会主席马克·格林(Mark Green)博士近日致信TSA局长大卫·彼得·佩科斯克(David Peter Pekoske),要求彻查此事。
信中指出:“黑客声称他们可能已经能够利用对服务器的访问权限来取消或延迟航班,甚至更换机组人员。如果该情况属实,其对国家安全的影响是令人担忧的…运输系统部门是美国16个关键基础设施部门之一。如此重要的数据库的安全问题事关网络安全,航空安全以及公民权利和自由。”
最后,值得注意的是,发现(并涉嫌泄露)禁飞名单的瑞士女黑客maia arson crimew(曾用别名deletescape、antiproprietary和Tillie Kottmann)并非正经的安全研究人员,此人早些时候曾被美国大陪审团起诉阴谋、电汇欺诈和严重的身份盗窃指控。
该黑客以前还参与了针对监控设备商Verkada黑客攻击,未经授权查看特斯拉、Cloudflare等Verkada客户的办公室安全摄像头。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。