Американская авиакомпания CommuteAir случайно оставила на незащищенном сервере список лиц, которых нельзя пускать на борт самолетов, летящих в США или из США (так называемый «No Fly List»). Эта базу, содержащую более 1,5 млн записей, обнаружил исследователь.

О своей находке изданию  The Daily Dot сообщил швейцарский хакер maia arson crimew, считающий себя хактивистом. В прошлом этот человек был известен как Тилли Коттманн (Tillie Kottmann), но недавно официально сменил имя на вышеуказанное.

Напомню, что в 2021 году американские власти предъявили arson crimew обвинения, утверждая, что хакер причастен к взлому более чем 100 компаний и утечкам конфиденциальных данных. И хотя у Швейцарии нет договора об экстрадиции с США, теперь arson crimew не может покинуть родную страну, опасаясь международного ордера, который, скорее всего, уже выдан Интерполом.

Исследователь рассказал журналистам, что просто скучал и копался в IoT-поисковике Zoomeye (китайский аналог Shodan), когда обнаружил очередной незащищенный сервер Jenkins, которых в интернете предостаточно. На этом конкретном сервере внимание arson crimew привлекли аббревиатура ACARS (Airborne Communications Addressing and Reporting System) и многочисленные упоминания слова «crew» («экипаж»), после чего выяснилось, что незащищенная машина принадлежит авиакомпании CommuteAir.

На открытом для всех желающих сервере хранились самые разные данные, включая личную информацию примерно 9000 сотрудников CommuteAir, путевые листы рейсов, а также исследователь обнаружил, что может легко получить доступ к планам полетов, информации о техническом обслуживании самолетов и другим данным.

Также там в итоге нашелся файл, содержащий копию так называемого «No Fly List», датированную 2019 годом. Этот список содержит более 1,56 млн записей и включает в себя имена и даты рождения, хотя многие записи дублируются.

Такие базы появились в начале 2000-х, после террористических атак 11 сентября. Сначала они содержали лишь несколько десятков имен (в основном это были люди, которые «известны или обоснованно подозреваются в причастности к террористической деятельности»), но после терактов и создания Министерства внутренней безопасности списки стали быстро пополняться.

Точное количество людей, которые в настоящее время перечислены в «No Fly List» неизвестно, к тому же списки содержат по несколько записей для одного человека, но по последним оценкам в них попали от 47 000 до 81 000 людей.

«Это извращенный продукт американских правоохранителей и полицейского государства США в целом, — говорит arson crimew. — Просто список без каких-либо надлежащих правовых процедур… В основном [люди попадают в него] просто на том основании, что они знакомы с кем-то или [живут] в одной деревне с кем-либо. Это имеет такие масштабы… Мне кажется, что подобному не должно быть места нигде».

Представители CommuteAir подтвердили, что утечка действительно имела место и произошла из-за неправильно настроенного сервера разработки.

«Исследователь получил доступ к файлам, в том числе к устаревшей версии федерального списка no-fly от 2019 года, в котором были указаны имена, фамилии и даты рождения, — говорится в заявлении компании.  — Кроме того, благодаря информации, найденной на сервере, исследователь обнаружил доступ к базе данных, содержащей личную информацию сотрудников CommuteAir. Согласно предварительному расследованию, данные клиентов не пострадали. CommuteAir немедленно отключила затронутый сервер и начала расследование инцидента».

В своем блоге arson crimew обещает предоставить список журналистам и правозащитным организациям ради «общественного блага». При этом публиковать в список в открытом доступе исследователь все же счел неправильным.

Подписаться
Уведомить о
2 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии