Le serveur non sécurisé de CommuteAir a révélé le gouvernement américain "Liste d’interdiction de vol"

CommuteAir

Pourquoi c’est important : Une compagnie aérienne régionale américaine a accidentellement exposé un document secret « No Fly List » partagé entre les agences gouvernementales. Alors que la liste a été mise hors ligne, le hacker qui a découvert le snafu a révélé une série de traits gênants concernant la sécurité et le racisme systématique contre les personnes « dissidentes ».

CommuteAir utilisait un serveur exposé à Internet comme plate-forme de développement, et un pirate informatique suisse connu sous le nom de « maia arson crimew » a pu accéder au système et jeter un coup d’œil. Le serveur s’est avéré être une mine de données confidentielles, provenant à la fois des activités commerciales de l’entreprise et d’une base de données secrète sur les personnes interdites de vol aux États-Unis.

Les données stockées sur le serveur non sécurisé contenaient de nombreuses informations liées à l’entreprise, y compris des données privées sur près de 1 000 employés de CommuteAir. De plus, un simple fichier texte nommé « NoFly.csv » comprenait plus de 1,5 million d’entrées différentes avec des noms et des dates de naissance, même si bon nombre de ces entrées étaient des alias ou des fautes d’orthographe d’identifiants préexistants.

La « liste d’interdiction de vol » officielle à laquelle le fichier secret faisait référence est un sous-ensemble de la base de données de dépistage du terrorisme (TSDB) beaucoup plus vaste, qui est la liste de surveillance terroriste centrale gérée par le FBI et utilisée par plusieurs agences fédérales pour compiler des listes de surveillance spécifiques et pour les passagers. activités de dépistage. Les personnes présentes dans le TSDB sont soupçonnées ou connues pour avoir des liens avec des organisations terroristes, tandis que les personnes inscrites sur la liste d’interdiction de vol ne sont en aucun cas autorisées à embarquer sur les vols des compagnies aériennes.

Le serveur non securise de CommuteAir a revele le gouvernement

Selon crimew, la liste d’interdiction de vol comprenait des personnalités telles que Viktor Bout (avec plus de 16 pseudonymes potentiels), le marchand d’armes russe récemment libéré par les États-Unis dans le cadre d’une initiative d’échange de prisonniers visant à libérer la basketteuse américaine Brittney Griner. La liste comprenait également des membres présumés de l’organisation paramilitaire irlandaise IRA et, curieusement, un enfant de huit ans sur la base de la seule date de naissance.

CommuteAir a ensuite confirmé l’incident de sécurité avec le serveur de développement et la légitimité des données incluses, déclarant que la liste d’interdiction de vol découverte par crimew était une base de données fédérale datant de 2019. La liste d’interdiction de vol américaine est une base de données en constante évolution qui, selon selon des estimations récentes, devrait comprendre plus de 80 000 personnes. Une copie précédemment exposée de la plus grande TSDB contenait 1,9 million d’entrées.

Ce que CommuteAir identifie comme une liste d’interdiction de vol pourrait en effet n’être qu’une copie de la TSDB beaucoup plus grande. Les deux listes ont été critiquées à plusieurs reprises pour être des systèmes massifs et gonflés conçus comme un dispositif de surveillance contre les dissidents.

Selon Hina Shamsi, directrice du projet de sécurité nationale à l’American Civil Liberties (ACLU), le TSDB et la plus petite liste d’interdiction de vol sont utilisés depuis 20 ans pour cibler les citoyens américains qui sont « de manière disproportionnée musulmans et des personnes d’origine arabe ou moyen-orientale ». et d’origine sud-asiatique. » Ces personnes doivent endurer la stigmatisation, l’embarras et « les difficultés de la vie de ne pas pouvoir voler à notre époque moderne », a déclaré Shamsi, tandis que le gouvernement américain maintient son système de surveillance gonflé basé « sur des normes secrètes et des preuves secrètes sans processus significatif pour contester erreur du gouvernement et laver leurs noms. »