Un pirate informatique est tombé sur la liste d’interdiction de vol de la TSA via un serveur de compagnie aérienne non sécurisé
Gros bisous.
Tout le monde fait des erreurs au travail, mais laisser la liste d’interdiction de vol exposée sur Internet semble être un très mauvais gâchis.
C’est apparemment ce qui s’est passé avec la compagnie aérienne américaine CommuteAir. Le Daily Dot a rapporté qu’un hacker suisse connu sous le nom de « maia arson crimew » a trouvé le serveur non sécurisé en utilisant le moteur de recherche spécialisé Shodan. Il y avait apparemment beaucoup d’informations sensibles sur le serveur, y compris une version de la liste d’interdiction de vol datant d’il y a quatre ans. De manière quelque peu hilarante, cela aurait été trouvé via un fichier texte intitulé « NoFly.csv ». Ce n’est… pas difficile à deviner.
Un article de blog de crimew intitulé « comment posséder complètement une compagnie aérienne en 3 étapes faciles » a cité l’ennui comme raison pour trouver le serveur. Ils fouinaient juste et l’ont trouvé.
« À ce stade, j’ai probablement cliqué sur environ 20 serveurs exposés ennuyeux avec très peu d’intérêt, quand je commence soudainement à voir des mots familiers », déclare crimew dans son article de blog. « » ACARS « , beaucoup de mentions de » crew « et ainsi de suite. Beaucoup de mots que j’ai déjà entendus, très probablement en regardant des vidéos YouTube de Mentour Pilot. Jackpot. Un serveur jenkins exposé appartenant à CommuteAir. »
Le tweet a peut-être été supprimé
CommuteAir, une compagnie aérienne régionale américaine basée dans l’Ohio, a confirmé que les informations sur le serveur étaient authentiques pour le Daily Dot. Le serveur a été mis hors ligne.
« Le serveur contenait des données d’une version 2019 de la liste fédérale d’interdiction de vol qui comprenait les prénoms, les noms et les dates de naissance », a déclaré Erik Kane, responsable des communications d’entreprise de CommuteAir, au Daily Dot. « En outre, certains employés de CommuteAir et des informations sur les vols étaient accessibles. Nous avons soumis une notification à l’Agence de sécurité de la cybersécurité et des infrastructures et nous poursuivons une enquête approfondie. »
Les informations du serveur ont déjà été diffusées, certains chercheurs affirmant cela montre à quel point la liste est fortement biaisée contre les musulmans. Selon Daily Dotbien qu’il n’y ait pas de nombre officiel sur le nombre de noms sur la liste d’interdiction de vol, la sénatrice Dianne Feinstein (D-Californie) a suggéré en 2016 que plus de 81 000 personnes figuraient sur la liste.