La lista de exclusión aérea de la Administración de Seguridad del Transporte es uno de los libros de contabilidad más importantes de los Estados Unidos, ya que contiene los nombres de personas que se perciben como una amenaza tal para la seguridad nacional que son no permitido en aviones. Te habrían perdonado entonces por pensar que esa lista era un secreto de estado muy bien guardado, pero jajaja, no.
Un hacker suizo conocido como “maia arson crimew” obtuvo una copia de la lista, aunque es una versión de hace unos años, no al superar las capas de ciberseguridad que parecen fortalezas, sino al… encontrar una aerolínea regional que tenía sus datos en servidores desprotegidos. Anunciaron el descubrimiento con la foto y la captura de pantalla de arriba, en las que el Pokémon Sprigatito se ve terriblemente satisfecho consigo mismo.
Como ellos explicar en una publicación de blog que detalla el procesoCrimew estaba hurgando en línea cuando descubrió que los servidores de CommuteAir estaban allí:
como tantos otros de mis trucos, esta historia comienza cuando me aburro y navego Shodan (o bueno, técnicamente ojo de zoomshodan chino), buscando expuestos Jenkins servidores que pueden contener algunos productos interesantes. En este punto, probablemente he hecho clic en unos 20 aburridos servidores expuestos con muy poco interés, cuando de repente empiezo a ver algunas palabras familiares. “Unos carros”, muchas menciones de “tripulación” y así sucesivamente. muchas palabras que he escuchado antes, muy probablemente mientras miraba en exceso Piloto mentor Videos de Youtube. bote. un servidor jenkins expuesto perteneciente a ConmutarAire.
Entre otra información “sensible” en los servidores estaba “NOFLY.CSV”, que graciosamente era exactamente lo que dice en la caja: “El servidor contenía datos de una versión de 2019 de la lista federal de exclusión aérea que incluía nombres y apellidos y fechas de nacimiento”, Erik Kane, Gerente de Comunicaciones Corporativas de CommuteAir. dijo al Punto diarioque trabajó con crimew para filtrar los datos. “Además, se podía acceder a cierta información de vuelos y empleados de CommuteAir. Hemos enviado una notificación a la Agencia de Seguridad de Infraestructura y Ciberseguridad y continuamos con una investigación completa”.
Esa “información del empleado y del vuelo” incluye, como escribe crimew:
tomando documentos de muestra de varios cubos s3, revisando planes de vuelo y volcando algunas tablas de dynamodb. En este punto, había encontrado casi toda la PII imaginable para cada uno de los miembros de su tripulación. nombres completos, direcciones, números de teléfono, números de pasaporte, números de licencia de piloto, cuándo vence su próxima verificación de línea y mucho más. Tenía hojas de viaje para cada vuelo, la posibilidad de acceder a todos los planes de vuelo, un montón de archivos adjuntos de imágenes para reservas de vuelos de reembolso que contenían una vez más más PII, datos de mantenimiento de aviones, lo que sea.
G/O Media puede recibir una comisión
Hasta $100 de crédito
Reserva Samsung
Reserve el dispositivo Samsung de próxima generación
Todo lo que necesita hacer es registrarse con su correo electrónico y boom: crédito para su pedido anticipado en un nuevo dispositivo Samsung.
El gobierno ahora está investigando la fuga, con la TSA diciéndole a la Punto diario son “conscientes de un posible incidente de ciberseguridad, y estamos investigando en coordinación con nuestros socios federales”.
Si se pregunta cuántos nombres hay en la lista, es difícil saberlo. Crimew cuenta mi ciudad que en esta versión de los registros “hay alrededor de 1,5 millones de entradas, pero dado que hay muchos alias diferentes para diferentes personas, es muy difícil saber el número real de personas únicas en él” (una estimación de 2016 tenía los números en “2,484,442 registros, que consisten en 1,877,133 identidades individuales”).
Curiosamente, dado que la lista se cargó en los servidores de CommuteAir en 2022, se asumió que ese era el año del que procedían los registros. En cambio, crimew me dice “la única razón por la que [now] saber [it] es de 2019 es porque la aerolínea lo sigue confirmando en todos sus comunicados de prensa, antes de eso asumimos que era de 2022”.
Puedes consultar el blog de crimew aquímientras que la Punto diario publicación—que dice que los nombres en la lista incluyen miembros del IRA y un niño de ocho años—es aquí.