Hacker fandt en flyveforbudsliste på en offentlig TSA-server

Hackeren fandt en liste over forbudte fly på flyselskabets usikre server.

Alle laver fejl på arbejdet, men at forlade en flyveforbudsliste online er en rigtig nederdel. Det er præcis, hvad der skete med det amerikanske selskab CommuteAir. Daily Dot rapporterer, at en schweizisk hacker, der reagerede på navnet “maia arsoncrimew”, fandt en usikker server takket være en specialiseret søgemaskine Shodan. Og sidstnævnte er fuld af følsomme data, herunder en fire år gammel version af flyveforbudslisten . I en fil med navnet “NoFly.csv”, tak!

Hacker fandt en liste over personer, der er forbudt at flyve

I et indlæg med titlen ” Hvordan man fuldstændig ejer et flyselskab i 3 nemme trin ” offentliggjort på sin blog, forklarer hackeren, at han kedede sig, da han fandt denne server. “På det tidspunkt havde jeg nok set på 20 åbne og fuldstændig kedelige servere uden noget interessant på det, da jeg begyndte at se nogle velkendte ord.” “ACARS, “crew” referencer osv. Ord jeg har hørt før, oftest mens jeg så Mentour Pilot YouTube-videoer. Jackpot. En åben Jenkins-server ejet af CommuteAir.”

på en usikker flyselskabsserver

CommuteAir, det nationale flyselskab med base i Ohio, har bekræftet, at oplysningerne på serveren er korrekte. Serveren har siden været nede. “Serveren indeholdt data fra 2019-versionen af ​​Federal No-Fly List, som inkluderede fornavne, efternavne og fødselsdatoer,” fortalte CommuteAirs kommunikationschef Eric Kane til Daily Dot. “Derudover var nogle CommuteAir-medarbejdere og flyoplysninger tilgængelige. Vi har videresendt hændelsen til Cybersecurity and Infrastructure Security Agency og er i gang med en fuldstændig undersøgelse.”

Ifølge Daily Dot, mens der ikke er noget officielt tal for antallet af personer på listen, foreslog senator Dianne Feinstein i 2016, at flyveforbudslisten omfattede mere end 81.000 personer.

Serveren, opdaget af hackeren @_nyancrimew , var beskyttet før den blev offentliggjort.

CommuteAir siger, at noteringen var 2019-versionen.

Daily Dot var i stand til at opspore adskillige højprofilerede personer, inklusive den nyligt frigivne russiske våbenhandler Viktor Bout og mindst 16 aliaser.

— Mikael Thalen (@MikaelThalen) 19. januar 2023