EXCLUSIVO: Aerolínea de EE. UU. expone accidentalmente una 'Lista de exclusión aérea' en un servidor no seguro

EXCLUSIVO: Aerolínea de EE. UU. expone accidentalmente una 'Lista de exclusión aérea' en un servidor no seguro
  Cinta etiquetada TSA

trekandshoot/Shutterstock (Con licencia)


optad_b

EXCLUSIVO: Aerolínea de EE. UU. expone accidentalmente una 'Lista de exclusión aérea' en un servidor no seguro

Uno de los documentos más sensibles del gobierno de EE. UU. se dejó en línea.

Un servidor no seguro descubierto por un investigador de seguridad la semana pasada contenía las identidades de cientos de miles de personas de la base de datos de detección de terroristas del gobierno de EE. UU. y la 'Lista de exclusión aérea'.

Localizado por el pirata informático suizo conocido como maia arson crimew, el servidor, administrado por la aerolínea nacional de EE. UU. CommuteAir, quedó expuesto en Internet público. Reveló una gran cantidad de datos de la empresa, incluida información privada sobre casi 1,000 empleados de CommuteAir.



El análisis del servidor resultó en el descubrimiento de un archivo de texto llamado 'NoFly.csv', una referencia al subconjunto de personas en la base de datos de detección de terroristas a quienes se les ha prohibido viajar en avión debido a que tienen vínculos sospechosos o conocidos con organizaciones terroristas.

La lista, según Crimew, parecía tener más de 1,5 millones de entradas en total. Los datos incluían nombres y fechas de nacimiento. También incluía múltiples alias, colocando el número de personas únicas en mucho menos de 1,5 millones.

En la lista había varias figuras notables, incluido el traficante de armas ruso recientemente liberado Viktor Bout, junto con más de 16 alias potenciales para él.

Los alias comprendían errores ortográficos diferentes y comunes de su apellido y otras versiones de su nombre, así como diferentes cumpleaños. Muchos de los cumpleaños se alinearon con la fecha registrada de nacimiento de Bout.



Los presuntos miembros del IRA, la organización paramilitar irlandesa, también estaban en la lista.

Otro individuo, según Crimew, figuraba como de 8 años según su año de nacimiento.

Muchas entradas en la lista eran nombres que parecían ser descendientes de árabes o del Medio Oriente, aunque también estaban en la lista nombres que suenan hispanos y anglicanos. Numerosos nombres incluían alias que eran errores ortográficos comunes o versiones ligeramente alteradas de sus nombres.

“Es una locura para mí lo grande que es la base de datos de detección de terrorismo y, sin embargo, todavía hay tendencias muy claras hacia nombres que suenan casi exclusivamente en árabe y ruso en el millón de entradas”, dijo crimew.

“Durante los últimos 20 años, los ciudadanos estadounidenses que hemos visto como objetivo de la lista de vigilancia son desproporcionadamente musulmanes y personas de ascendencia árabe o del Medio Oriente y el sur de Asia”, dijo Hina Shamsi, directora del Proyecto de Seguridad Nacional de la American Civil Liberties (ACLU). ). “A veces son personas que disienten o tienen lo que se considera puntos de vista impopulares. También hemos visto periodistas en la lista de vigilancia”.

En una declaración al Daily Dot, la TSA dijo que estaba 'al tanto de un posible incidente de seguridad cibernética con CommuteAir, y estamos investigando en coordinación con nuestros socios federales'.



El FBI se negó a responder preguntas específicas sobre la lista al Daily Dot.

En una declaración al Daily Dot, CommuteAir dijo que la infraestructura expuesta, que describió como un servidor de desarrollo, se usó con fines de prueba.

CommuteAir agregó que el servidor, que se desconectó antes de la publicación después de que el Daily Dot lo señalara, no expuso ninguna información del cliente según una investigación inicial.

CommuteAir también confirmó la legitimidad de los datos, afirmando que era una versión de la 'lista federal de exclusión aérea' de aproximadamente cuatro años antes.

“El servidor contenía datos de una versión de 2019 de la lista federal de exclusión aérea que incluía nombres y apellidos y fechas de nacimiento”, dijo el gerente de comunicaciones corporativas de CommuteAir, Erik Kane. “Además, se podía acceder a cierta información de vuelos y empleados de CommuteAir. Hemos enviado una notificación a la Agencia de Seguridad de Infraestructura y Ciberseguridad y continuamos con una investigación completa”.

CommuteAir es una aerolínea regional con sede en Ohio. En junio de 2020, CommuteAir reemplazó a ExpressJet como la aerolínea de United Express Banner, una sucursal regional de United, que realiza vuelos más cortos.

En comentarios al Daily Dot, crimew dijo que habían hecho el descubrimiento mientras buscaban servidores Jenkins en el motor de búsqueda especializado Shodan. Jenkins proporciona servidores de automatización que ayudan en la creación, prueba e implementación de software. Shodan se utiliza en toda la comunidad de ciberseguridad para ubicar servidores expuestos a Internet abierto.

El servidor también contenía los números de pasaporte, direcciones y números de teléfono de aproximadamente 900 empleados de la empresa. Las credenciales de usuario de más de 40 cubos y servidores de Amazon S3 administrados por CommuteAir también quedaron expuestas, dijo crimew.

La base de datos de detección de terrorismo, según el FBI, es una lista de personas compartida entre departamentos gubernamentales para evitar el tipo de fallas de inteligencia que ocurrieron antes del 11 de septiembre. Dentro de eso está la lista de exclusión aérea más pequeña y más estrictamente controlada. Las personas en la base de datos de detección de terrorismo pueden estar sujetas a ciertas restricciones y recibir una evaluación de seguridad adicional. Las personas que se encuentran explícitamente en la Lista de exclusión aérea tienen prohibido abordar aviones en los Estados Unidos.

“Este país tiene un sistema de listas de vigilancia masivo e inflado que puede estigmatizar a las personas, incluidos los estadounidenses, como terroristas conocidos o sospechosos en función de estándares secretos y evidencia secreta sin un proceso significativo para desafiar el error del gobierno y limpiar sus nombres”, dijo Shamsi. “Las categorías de personas en la lista de vigilancia parecen expandirse, nunca restringirse… Las consecuencias son significativas y tienen daños reales para la vida de las personas. Existe el estigma y la vergüenza obvios y las dificultades de la vida de no poder volar en nuestra era moderna, de ser señalado, de ser buscado. Hemos tenido madres y padres estigmatizados y avergonzados frente a sus hijos”.

Hace tiempo que se realizan estimaciones tanto de la Base de datos de detección del terrorismo como de la Lista de exclusión aérea. Se estimó que la Base de datos de detección de terrorismo contenía hasta 1 millón de entradas, y se informa que la Lista de exclusión aérea es mucho más pequeña.

Cuando se le pidió una aclaración, CommuteAir dijo que era específicamente el subconjunto de la Lista de exclusión aérea que alojaban, lo que significa que podría ser mucho más grande de lo que se informó anteriormente.

Pero un experto familiarizado con los contornos de la Lista de exclusión aérea advirtió que una lista de ese tamaño puede ser la Base de datos de detección de terrorismo más grande y no la Lista de exclusión aérea más pequeña.

El intercepto en 2014 previamente reportado que la lista de exclusión aérea contenía más de 47.000 nombres. En 2016, la senadora Dianne Feinstein (D-Calif.) sugirió que durante 81.000 personas estaban en la lista.

Aunque la lista es muy secreta y rara vez se filtra, no se considera un documento clasificado debido a la cantidad de agencias e individuos que necesitan acceder a ella.

En una declaración a la ACLU, G. Clayton Grigg, en ese momento Director Adjunto de Operaciones del Centro de Detección de Terroristas, dicho que si bien la lista contiene información clasificada de seguridad nacional, “mantener la TDSB como un sistema sensible pero no clasificado permite que los agentes de la ley evalúen a los agentes... utilizar la información de identificación de la TSDB aunque no posean autorizaciones de seguridad secretas o ultrasecretas”.

El descubrimiento por parte de crimew no es la primera vez que se expone en línea una versión no segura de la base de datos de detección de terroristas. El investigador de seguridad Volodymyr 'Bob' Diachenko encontró una copia detallada del lista de vigilancia del terrorismo con 1,9 millones de entradas en 2021.

Los nombres proporcionados a Diachenko por el Daily Dot coincidían con las entradas de la lista que obtuvo, aunque Diachenko nunca recibió confirmación oficial de que su lista fuera genuina.

La lista de exclusión aérea ha sido criticada habitualmente por expertos en privacidad y libertades civiles. La ACLU demandó con éxito para permitir que los ciudadanos impugnaran su inclusión en la lista. Sin embargo, se necesita más trabajo para mejorar la transparencia con la lista, dijo Shamsi.

“Ya es un sistema masivo e inflado, y el crecimiento es exactamente el tipo de cosa que sucede cuando tienes un sistema vago y demasiado amplio de lo que es esencialmente vigilancia gubernamental basada en la sospecha y sin el debido proceso... Como mínimo, si el el gobierno debe usar listas de vigilancia, debe tener criterios públicos estrechos y específicos [para la entrada] y aplicar procedimientos públicos rigurosos para revisar, actualizar y eliminar las entradas dudosas”.

  Icono de punto diario   web_crawlr Rastreamos la web para que usted no tenga que hacerlo. Suscríbase al boletín Daily Dot para obtener lo mejor y lo peor de Internet en su bandeja de entrada todos los días. Déjame leerlo primero