美国一航空公司的不安全服务器意外泄露一份“禁飞名单”

上周，一名安全研究人员发现了一台不安全的服务器，其中包含了美国政府的恐怖分子筛选数据库和"禁飞名单"中数十万人的身份。该服务器由被称为maia arson crimew的瑞士黑客找到，由美国区域航空公司CommuteAir持有，被暴露在公共互联网上。它显示了大量的公司数据，包括近1000名CommuteAir员工的私人信息。

研究人员对服务器的分析后发现了一个名为"NoFly.csv"的文本文件，它指的是恐怖分子筛查数据库中因涉嫌或已知与恐怖组织有联系而被禁止乘坐飞机的个人子集。

据crimew报道，这份名单似乎总共有150多万个条目。这些数据包括姓名和出生日期。它还包括多个化名，因此涉及到真正个体的数量远远低于150万。该服务器还存有大约900名公司员工的护照号码、地址和电话号码。CommuteAir运行的40多个亚马逊S3服务器的用户凭证也被曝光。

名单上有几个著名的人物，包括最近被释放的俄罗斯军火商维克多·布特，以及他的16个潜在别名。这些别名包括他的姓和名字的其他版本的不同、常见的拼写错误，以及不同的生日。许多生日与记录的布特的出生日期一致，爱尔兰准军事组织IRA的可疑成员也在名单上。据crimew报道，另一个人根据其出生年份被列为8岁。

名单上的多数条目是似乎是阿拉伯或中东血统的名字，尽管西班牙裔和听起来像圣公会的名字也在名单上。许多名字包括别名，这些别名是他们名字的常见误拼或稍加改动的版本。

"对我来说，恐怖主义筛查数据库如此之大，但在这一百万个条目中，仍然有非常明显的趋势，即几乎全是阿拉伯和俄罗斯发音的名字，"crimew说。

美国公民自由联盟（ACLU）国家安全项目主任希娜-沙姆西（Hina ShaMSI）说："在过去20年里，我们看到被列入观察名单的美国公民不成比例地是穆斯林和阿拉伯或中东及南亚裔人。有时是持不同意见或有被视为不受欢迎的观点的人。我们也看到记者被列入观察名单。"

TSA在给Daily Dot的一份声明中说，它"意识到CommuteAir的潜在网络安全事件，我们正在与我们的联邦伙伴协调调查"。

联邦调查局拒绝回答有关该名单的具体问题。

在给Daily Dot的一份声明中，CommuteAir说，暴露的基础设施，它被描述为一个开发服务器，用于测试目的。CommuteAir补充说，根据初步调查，该服务器在被Daily Dot标记后，在发布前已经下线，没有暴露任何客户信息。CommuteAir也证实了这些数据的合法性和真实性，表示这是大约四年前的"联邦禁飞名单"的一个版本。

"服务器包含2019年版本的联邦禁飞名单的数据，其中包括姓名和出生日期，"CommuteAir公司公关经理埃里克·凯恩说。"此外，某些CommuteAir员工和航班信息也可以访问。我们已经向网络安全和基础设施安全局提交了通知，我们正在继续进行全面调查。"

CommuteAir是一家位于俄亥俄州的区域航空公司。2020年6月，CommuteAir取代ExpressJet，后者是美联航的一个区域分支，运行距离较短的航班。

据联邦调查局称，恐怖主义筛查数据库是一份政府各部门共享的个人名单，以防止9/11之前发生的那种情报失误。其中包括规模较小、控制更严格的禁飞名单。恐怖主义筛查数据库中的个人可以受到某些限制，并得到额外的安全检查。明确列入"禁飞名单"的人被禁止在美国登机。

沙姆西说："这个国家有一个庞大的、臃肿的观察名单系统，可以根据秘密标准和秘密证据将人们--包括美国人--污名化为已知或可疑的恐怖分子，而没有一个有意义的程序来挑战政府的错误并清除他们的名字。被列入观察名单的人的类别似乎每次都在扩大，从来没有限制......其后果很严重，对人们的生活有真正的危害。在我们的现代社会中，不能飞行，被挑出来，被搜查，这显然是一种耻辱和尴尬，以及生活上的困难。我们已经有母亲和父亲在他们的孩子面前被羞辱和尴尬"。

对恐怖主义筛查数据库和禁飞名单的估计由来已久。恐怖主义筛查数据库被估计包含多达100万个条目，而禁飞名单据说要小得多。

当被要求澄清时，CommuteAir说这是他们主持的"禁飞名单"子集，这意味着它有可能比以前报告的规模大得多。但一位熟悉"禁飞名单"轮廓的专家告诫说，如此规模的名单可能是更大的恐怖主义筛查数据库，而不是更小的"禁飞名单"。虽然这份名单高度保密，而且很少泄露，但由于需要接触它的机构和个人的数量，它不被认为是一份机密文件。

在给美国公民自由联盟的一份声明中，当时负责恐怖分子筛查中心业务的副主任G.克莱顿-格里格说，虽然该名单确实包含机密的国家安全信息，"将TDSB作为一个敏感但非机密的系统来维护，允许执法筛查人员....，使用TSDB的识别信息，即使他们可能不拥有秘密或最高机密的安全许可"。

crimew的发现并不是第一次恐怖分子筛选数据库的不安全版本在网上被曝光。安全研究员沃洛迪米尔-"鲍勃"-迪亚琴科（Volodymyr"Bob"Diachenko）在2021年发现了一份有190万个条目的恐怖主义观察名单的详细副本。

禁飞名单经常受到隐私和公民自由专家的批评。美国公民自由联盟(ACLU)成功提起诉讼，允许公民对他们被列入名单提出质疑。然而，需要做更多的工作来提高名单的透明度，沙姆西说。"它已经是一个庞大和臃肿的系统，当你有一个模糊和过度宽泛的系统，本质上是基于怀疑和没有正当程序的政府监控时，就会出现这种增长......最起码，如果政府要使用观察名单，它必须有狭窄和具体的公开标准[进入]，并应用严格的公开程序来审查、更新和删除可疑的条目。"