1,5 milyondan fazla yasaklı el ilanı kaydı ve 250.000’den fazla ‘seçilen’ kaydı içeren bir ABD Uçuşa Yasak listesi, bir bilgisayar korsanlığı forumunda herkese açık olarak paylaşıldı.
BleepingComputer, listenin yakın zamanda güvenli olmayan bir CommuteAir sunucusunda keşfedilen TSA No Fly listesiyle aynı olduğunu onayladı.
Hiçbir Fly listesi halka açıklanmadı
Bu ay, İsviçreli bilgisayar korsanı maia kundakçılık suç (eski adıyla Tillie Kottmann), ilk kez tarafından bildirildiği üzere, TSA’nın Uçuş Yok listesini içeren yanlış yapılandırılmış bir AWS sunucusuna rastladı. Günlük Nokta gazeteci Mikael Thalen.
Söz konusu sunucu Ohio merkezli havayolu şirketi CommuteAir’e aitti. Sızıntıyı yamalamak için daha önce adımlar atılmış olsa da, No Fly listesi ne olursa olsun 26 Ocak’ta herkesin erişebileceği bir bilgisayar korsanlığı forumunda çevrimiçi olarak ortaya çıktı:
Thalen ve başka bir kaynakla, forumda yayınlanan listelerin yakın zamanda CommuteAir sunucusunda keşfedilen uçuşa kapalı ve seçmeli listelerle aynı olduğunu doğruladık.
BleepingComputer, ‘NOFLY’ ve ‘SELECTEE’ adlı iki CSV dosyası olarak sağlanan bu listelerin bir bölümünü inceledi. İkinci liste, muhtemelen ABD’ye uçarken havaalanlarında İkincil Güvenlik Taraması Seçimi’nden (SSSS) geçen yolculardan bazılarının adını veriyor.
Forumda yayınlanan uçuşa kapalı e-tablo 1.566.062 kayıt içerir ve bazı adların kopyalarını/yazım varyasyonlarını içerir. ‘SELECTEE’ listesi 251.169 kayıt içerir. Listede kopyaların ve takma adların varlığı, açığa çıkan adların toplam sayısının 1,5 milyondan az olduğu anlamına gelir.
Her iki e-tablo da bir kişinin adını, soyadını, olası takma adlarını ve doğum tarihini içerir. Bilgisayar korsanına göre listeler 2019 yılına ait.
Liste, Rus silah tüccarı Viktor Bout’tan ve onun 16 olası takma adından bahsediyor. Günlük Nokta gözlemlendi.
FBI’ın TSC’sine (Terörist Tarama Merkezi), terörle mücadele amacıyla konsolide bilgileri yönetmek ve paylaşmak için birden fazla federal kurum tarafından güvenilmektedir. Teşkilat, Terörist Tarama Veritabanı adlı, bazen “Uçuş Yasak listesi” olarak da anılan bir izleme listesi tutar.
Bu tür veritabanları, ulusal güvenlik ve yasa uygulama görevlerine yardım etmede oynadıkları hayati rol göz önüne alındığında, “sınıflandırılmamış” ve doğası gereği hassas olarak kabul edilmiş olsa bile gizlidir. Ulusal güvenlik riski oluşturan teröristler veya makul şüpheliler, hükümetin takdirine bağlı olarak gizli izleme listesine alınmak üzere “aday gösterilir”.
No Fly listesi genellikle kamuoyundan saklanmaktadır. Bununla birlikte, listeye özel havayolları ve Dışişleri Bakanlığı, Savunma Bakanlığı, Ulaştırma Güvenliği Ajansı (TSA) ve Gümrük ve Sınır Koruması (CBP) gibi birden fazla kurum tarafından bir yolcunun uçmasına izin verilip verilmediğini, kabul edilemez olup olmadığını kontrol etmek için başvurulur. veya diğer çeşitli faaliyetler için risklerini değerlendirin.
Bob Diachenko da dahil olmak üzere araştırmacılar daha önce internette açığa çıkmış gizli terörist izleme listelerini keşfettiler, ancak bu sızıntılar ana akım haberlere ulaşmadan çok önce yamalandı. Ancak ilk kez böyle bir liste herkesin görebileceği şekilde herkesin erişebileceği bir web sitesinde paylaşıldı.
İlginç bir şekilde, Diachenko tarafından 2021’de keşfedilen liste oldukça ayrıntılıydı: bu ay forumda yayınlanan listeye kıyasla adlar, cinsiyet, pasaport numarası ve verildiği ülke, TSC kimliği, izleme listesi kimliği vb.
ABD Hükümeti araştırıyor
Güvenlik ihlali, bir havayolu şirketine ait açığa çıkmış bir AWS sunucusundan kaynaklansa da, hükümet yetkilileri ve milletvekillerinin konuyu araştırmasıyla ABD hükümet mekanizmasını ürpertti.
TSA, siber güvenlik olayını soruşturuyor.
Bir TSA sözcüsü BleepingComputer’a güncellenmiş bir açıklamada “27 Ocak’ta TSA havaalanları ve hava taşıyıcılarına bir güvenlik yönergesi yayınladı” dedi.
“Güvenlik direktifi, hassas güvenlik bilgilerinin ve kişisel olarak tanımlanabilir bilgilerin işlenmesine ilişkin mevcut gereksinimleri güçlendiriyor. Sistemleri ve ağları siber saldırılardan korumak için güvenlik gereksinimlerini uygulamalarını sağlamak için ortaklarla birlikte çalışmaya devam edeceğiz.”
Konuya aşina bir kaynak, BleepingComputer’a bu ihlalin bir parçası olarak hiçbir TSA bilgi sisteminin tehlikeye atılmadığını söyledi. Ek olarak, federal kurum, sistemlerini gözden geçirmeleri ve dosyalarının korunmasını sağlamak için derhal harekete geçmeleri için tüm uçak gemilerine bir Endüstri Güvenliği Farkındalık mesajı yayınladı.
Bir CommuteAir sözcüsü, BleepingComputer ile paylaşılan bir açıklamada şunları söyledi:
“CommuteAir, yanlış yapılandırılmış bir geliştirme sunucusu tespit eden güvenlik araştırma topluluğunun bir üyesi tarafından bilgilendirildi. Araştırmacı, Temmuz 2022’de sunucuya yüklenen ve belirli kişilerin adlarını içeren federal uçuşa yasak ve seçilen listelerin eski 2019 sürümlerini içeren dosyalara erişti. ve doğum tarihleri. Listeler, federal olarak zorunlu kılınan güvenlik gereksinimlerini uygulamaya yönelik yazılım tabanlı uyumluluk sürecimizi test etmek için kullanıldı. Ek olarak, araştırmacı, sunucu aracılığıyla CommuteAir çalışanlarının kişisel olarak tanımlanabilir bilgilerini içeren bir veritabanına erişti. CommuteAir, etkilenen sunucuyu hemen aldı çevrimdışı ve veri erişiminin kapsamını belirlemek için bir soruşturma başlattı. Bugüne kadar, araştırmamız hiçbir müşteri verisinin açığa çıkmadığını gösteriyor. CommuteAir, verilerin açığa çıktığını Siber Güvenlik ve Altyapı Güvenliği Ajansına bildirdi ve ayrıca çalışanlarını bilgilendirdi.”
BleepingComputer yorum için FBI’a başvurdu.
ABD Kongre Üyesi Dan Piskoposları İç Güvenlik Komitesi başkanı Dr. Mark Green ile birlikte TSA Yöneticisi David Peter Pekoske’ye bir dizi hayati soru yönelttiler.
Unutulmaması gereken önemli bir nokta, bilgisayar korsanının iddiaları göz önüne alındığında, olayın bir veri sızıntısı keşfinden daha fazlası, artık bir ulusal güvenlik meselesi haline gelebileceğidir:
“Ayrıca, bilgisayar korsanı, uçuşları iptal etmek veya geciktirmek ve hatta mürettebat üyelerini değiştirmek için sunucuya erişimlerini kullanmış olabileceğini iddia etti. Eğer durum buysa, bunun ulusal güvenlik üzerindeki etkileri endişe vericidir.” ABD İç Güvenlik Komitesi Üyeleri 26 Ocak tarihli bir mektupta:
Mektupta, ulaşım sistemleri sektörünün ABD’deki 16 kritik altyapı sektörü arasında yer aldığı belirtiliyor. “Böyle önemli bir veri tabanının güvensiz bırakılması fikri, siber güvenlik, havacılık güvenliği ve ayrıca medeni haklar ve özgürlüklerle ilgili bir konudur.”
Daha önce takma adlarla bilinen bilgisayar korsanı, maia kundaklama suç manzarayı sil, mülkiyet karşıtıve Tillie Kottmann, daha önce bir ABD büyük jürisi tarafından komplo, elektronik dolandırıcılık ve ağırlaştırılmış kimlik hırsızlığı suçlamalarıyla suçlanmıştı (PDF).
Bilgisayar korsanı daha önce Verkada hack’ine karışmıştı ve Tesla, Cloudflare ve çeşitli Verkada müşteri kuruluşlarının ofislerindeki güvenlik kameralarına yetkisiz erişim elde etmesini sağlıyordu.