上周,一名安全研究人員發現一臺不安全的服務器,其中包含美國政府的恐怖分子篩選數據庫和"禁飛名單"中數十萬人的身份。該服務器由被稱為maiaarsoncrimew的瑞士黑客找到,由美國區域航空公司CommuteAir持有,被暴露在公共互聯網上。它顯示大量的公司數據,包括近1000名CommuteAir員工的私人信息。
研究人員對服務器的分析後發現一個名為"NoFly.csv"的文本文件,它指的是恐怖分子篩查數據庫中因涉嫌或已知與恐怖組織有聯系而被禁止乘坐飛機的個人子集。
據crimew報道,這份名單似乎總共有150多萬個條目。這些數據包括姓名和出生日期。它還包括多個化名,因此涉及到真正個體的數量遠遠低於150萬。該服務器還存有大約900名公司員工的護照號碼、地址和電話號碼。CommuteAir運行的40多個亞馬遜S3服務器的用戶憑證也被曝光。
名單上有幾個著名的人物,包括最近被釋放的俄羅斯軍火商維克多·佈特,以及他的16個潛在別名。這些別名包括他的姓和名字的其他版本的不同、常見的拼寫錯誤,以及不同的生日。許多生日與記錄的佈特的出生日期一致,愛爾蘭準軍事組織IRA的可疑成員也在名單上。據crimew報道,另一個人根據其出生年份被列為8歲。
名單上的多數條目是似乎是阿拉伯或中東血統的名字,盡管西班牙裔和聽起來像聖公會的名字也在名單上。許多名字包括別名,這些別名是他們名字的常見誤拼或稍加改動的版本。
"對我來說,恐怖主義篩查數據庫如此之大,但在這一百萬個條目中,仍然有非常明顯的趨勢,即幾乎全是阿拉伯和俄羅斯發音的名字,"crimew說。
美國公民自由聯盟(ACLU)國傢安全項目主任希娜-沙姆西(Hina ShaMSI)說:"在過去20年裡,我們看到被列入觀察名單的美國公民不成比例地是穆斯林和阿拉伯或中東及南亞裔人。有時是持不同意見或有被視為不受歡迎的觀點的人。我們也看到記者被列入觀察名單。"
TSA在給Daily Dot的一份聲明中說,它"意識到CommuteAir的潛在網絡安全事件,我們正在與我們的聯邦夥伴協調調查"。
聯邦調查局拒絕回答有關該名單的具體問題。
在給Daily Dot的一份聲明中,CommuteAir說,暴露的基礎設施,它被描述為一個開發服務器,用於測試目的。CommuteAir補充說,根據初步調查,該服務器在被Daily Dot標記後,在發佈前已經下線,沒有暴露任何客戶信息。CommuteAir也證實這些數據的合法性和真實性,表示這是大約四年前的"聯邦禁飛名單"的一個版本。
"服務器包含2019年版本的聯邦禁飛名單的數據,其中包括姓名和出生日期,"CommuteAir公司公關經理埃裡克·凱恩說。"此外,某些CommuteAir員工和航班信息也可以訪問。我們已經向網絡安全和基礎設施安全局提交通知,我們正在繼續進行全面調查。"
CommuteAir是一傢位於俄亥俄州的區域航空公司。2020年6月,CommuteAir取代ExpressJet,後者是美聯航的一個區域分支,運行距離較短的航班。
據聯邦調查局稱,恐怖主義篩查數據庫是一份政府各部門共享的個人名單,以防止9/11之前發生的那種情報失誤。其中包括規模較小、控制更嚴格的禁飛名單。恐怖主義篩查數據庫中的個人可以受到某些限制,並得到額外的安全檢查。明確列入"禁飛名單"的人被禁止在美國登機。
沙姆西說:"這個國傢有一個龐大的、臃腫的觀察名單系統,可以根據秘密標準和秘密證據將人們--包括美國人--污名化為已知或可疑的恐怖分子,而沒有一個有意義的程序來挑戰政府的錯誤並清除他們的名字。被列入觀察名單的人的類別似乎每次都在擴大,從來沒有限制......其後果很嚴重,對人們的生活有真正的危害。在我們的現代社會中,不能飛行,被挑出來,被搜查,這顯然是一種恥辱和尷尬,以及生活上的困難。我們已經有母親和父親在他們的孩子面前被羞辱和尷尬"。
對恐怖主義篩查數據庫和禁飛名單的估計由來已久。恐怖主義篩查數據庫被估計包含多達100萬個條目,而禁飛名單據說要小得多。
當被要求澄清時,CommuteAir說這是他們主持的"禁飛名單"子集,這意味著它有可能比以前報告的規模大得多。但一位熟悉"禁飛名單"輪廓的專傢告誡說,如此規模的名單可能是更大的恐怖主義篩查數據庫,而不是更小的"禁飛名單"。雖然這份名單高度保密,而且很少泄露,但由於需要接觸它的機構和個人的數量,它不被認為是一份機密文件。
在給美國公民自由聯盟的一份聲明中,當時負責恐怖分子篩查中心業務的副主任G.克萊頓-格裡格說,雖然該名單確實包含機密的國傢安全信息,"將TDSB作為一個敏感但非機密的系統來維護,允許執法篩查人員....,使用TSDB的識別信息,即使他們可能不擁有秘密或最高機密的安全許可"。
crimew的發現並不是第一次恐怖分子篩選數據庫的不安全版本在網上被曝光。安全研究員沃洛迪米爾-"鮑勃"-迪亞琴科(Volodymyr"Bob"Diachenko)在2021年發現一份有190萬個條目的恐怖主義觀察名單的詳細副本。
禁飛名單經常受到隱私和公民自由專傢的批評。美國公民自由聯盟(ACLU)成功提起訴訟,允許公民對他們被列入名單提出質疑。然而,需要做更多的工作來提高名單的透明度,沙姆西說。"它已經是一個龐大和臃腫的系統,當你有一個模糊和過度寬泛的系統,本質上是基於懷疑和沒有正當程序的政府監控時,就會出現這種增長......最起碼,如果政府要使用觀察名單,它必須有狹窄和具體的公開標準[進入],並應用嚴格的公開程序來審查、更新和刪除可疑的條目。"