美國一航空公司的不安全伺服器意外洩露一份“禁飛名單”

上周，一名安全研究人員發現了一台不安全的伺服器，其中包含了美國政府的恐怖分子篩選資料庫和"禁飛名單"中數十萬人的身份。該伺服器由被稱為maia arson crimew的瑞士黑客找到，由美國區域航空公司CommuteAir持有，被暴露在公共網際網路上。它顯示了大量的公司資料，包括近1000名CommuteAir員工的私人資訊。

研究人員對伺服器的分析後發現了一個名為"NoFly.csv"的文本檔案，它指的是恐怖分子篩查資料庫中因涉嫌或已知與恐怖組織有聯系而被禁止乘坐飛機的個人子集。

據crimew報道，這份名單似乎總共有150多萬個條目。這些資料包括姓名和出生日期。它還包括多個化名，是以涉及到真正個體的數量遠遠低于150萬。該伺服器還存有大約900名公司員工的護照号碼、位址和電話号碼。CommuteAir運作的40多個亞馬遜S3伺服器的使用者憑證也被曝光。

名單上有幾個著名的人物，包括最近被釋放的俄羅斯軍火商維克多·布特，以及他的16個潛在别名。這些别名包括他的姓和名字的其他版本的不同、常見的拼寫錯誤，以及不同的生日。許多生日與記錄的布特的出生日期一緻，愛爾蘭準軍事組織IRA的可疑成員也在名單上。據crimew報道，另一個人根據其出生年份被列為8歲。

名單上的多數條目是似乎是阿拉伯或中東血統的名字，盡管西班牙裔和聽起來像聖公會的名字也在名單上。許多名字包括别名，這些别名是他們名字的常見誤拼或稍加改動的版本。

"對我來說，恐怖主義篩查資料庫如此之大，但在這一百萬個條目中，仍然有非常明顯的趨勢，即幾乎全是阿拉伯和俄羅斯發音的名字，"crimew說。

美國公民自由聯盟（ACLU）國家安全項目主任希娜-沙姆西（Hina ShaMSI）說："在過去20年裡，我們看到被列入觀察名單的美國公民不成比例地是穆斯林和阿拉伯或中東及南亞裔人。有時是持不同意見或有被視為不受歡迎的觀點的人。我們也看到記者被列入觀察名單。"

TSA在給Daily Dot的一份聲明中說，它"意識到CommuteAir的潛在網絡安全事件，我們正在與我們的聯邦夥伴協調調查"。

聯邦調查局拒絕回答有關該名單的具體問題。

在給Daily Dot的一份聲明中，CommuteAir說，暴露的基礎設施，它被描述為一個開發伺服器，用于測試目的。CommuteAir補充說，根據初步調查，該伺服器在被Daily Dot标記後，在釋出前已經下線，沒有暴露任何客戶資訊。CommuteAir也證明了這些資料的合法性和真實性，表示這是大約四年前的"聯邦禁飛名單"的一個版本。

"伺服器包含2019年版本的聯邦禁飛名單的資料，其中包括姓名和出生日期，"CommuteAir公司公關經理埃裡克·凱恩說。"此外，某些CommuteAir員工和航班資訊也可以通路。我們已經向網絡安全和基礎設施安全局送出了通知，我們正在繼續進行全面調查。"

CommuteAir是一家位于俄亥俄州的區域航空公司。2020年6月，CommuteAir取代ExpressJet，後者是美聯航的一個區域分支，運作距離較短的航班。

據聯邦調查局稱，恐怖主義篩查資料庫是一份政府各部門共享的個人名單，以防止9/11之前發生的那種情報失誤。其中包括規模較小、控制更嚴格的禁飛名單。恐怖主義篩查資料庫中的個人可以受到某些限制，并得到額外的安全檢查。明确列入"禁飛名單"的人被禁止在美國登機。

沙姆西說："這個國家有一個龐大的、臃腫的觀察名單系統，可以根據秘密标準和秘密證據将人們--包括美國人--污名化為已知或可疑的恐怖分子，而沒有一個有意義的程式來挑戰政府的錯誤并清除他們的名字。被列入觀察名單的人的類别似乎每次都在擴大，從來沒有限制......其後果很嚴重，對人們的生活有真正的危害。在我們的現代社會中，不能飛行，被挑出來，被搜查，這顯然是一種恥辱和尴尬，以及生活上的困難。我們已經有母親和父親在他們的孩子面前被羞辱和尴尬"。

對恐怖主義篩查資料庫和禁飛名單的估計由來已久。恐怖主義篩查資料庫被估計包含多達100萬個條目，而禁飛名單據說要小得多。

當被要求澄清時，CommuteAir說這是他們主持的"禁飛名單"子集，這意味着它有可能比以前報告的規模大得多。但一位熟悉"禁飛名單"輪廓的專家告誡說，如此規模的名單可能是更大的恐怖主義篩查資料庫，而不是更小的"禁飛名單"。雖然這份名單高度保密，而且很少洩露，但由于需要接觸它的機構和個人的數量，它不被認為是一份機密檔案。

在給美國公民自由聯盟的一份聲明中，當時負責恐怖分子篩查中心業務的副主任G.克萊頓-格裡格說，雖然該名單确實包含機密的國家安全資訊，"将TDSB作為一個敏感但非機密的系統來維護，允許執法篩查人員....，使用TSDB的識别資訊，即使他們可能不擁有秘密或最高機密的安全許可"。

crimew的發現并不是第一次恐怖分子篩選資料庫的不安全版本在網上被曝光。安全研究員沃洛迪米爾-"鮑勃"-迪亞琴科（Volodymyr"Bob"Diachenko）在2021年發現了一份有190萬個條目的恐怖主義觀察名單的詳細副本。

禁飛名單經常受到隐私和公民自由專家的批評。美國公民自由聯盟(ACLU)成功提起訴訟，允許公民對他們被列入名單提出質疑。然而，需要做更多的工作來提高名單的透明度，沙姆西說。"它已經是一個龐大和臃腫的系統，當你有一個模糊和過度寬泛的系統，本質上是基于懷疑和沒有正當程式的政府監控時，就會出現這種增長......最起碼，如果政府要使用觀察名單，它必須有狹窄和具體的公開标準[進入]，并應用嚴格的公開程式來審查、更新和删除可疑的條目。"