Bleeping Computer 網(wǎng)站披露，某黑客論壇上公開分享了一份美國”禁飛名單“，該名單上有超過 150 萬名被禁飛者和超過 25 萬名“被選中者”的數(shù)據(jù)信息。

目前，Bleeping Computer 已確認(rèn)列表名單與 CommuteAir 航空服務(wù)器上發(fā)現(xiàn)的 TSA 禁飛列表名單相同。

黑客論壇公開分享”禁飛名單“

2023 年 1 月份，Daily Dot 記者 Mikael Thalen 報道瑞士黑客 maia arson crimew 偶然發(fā)現(xiàn)一個包含 TSA 禁飛名單的 AWS 服務(wù)器。據(jù)悉，該服務(wù)器屬于俄亥俄州 CommuteAir 航空公司，盡管早些時候可能已采取措施修補漏洞，但截至 1 月 26 日，禁飛名單仍在一個可公開訪問的黑客論壇上”浮現(xiàn)“。

美國禁飛名單在一個黑客論壇上公開分享（Bleeping Computer）

Bleeping Computer 查看禁飛名單列表的一部分，這些列表以兩個名為 “NOFLY（禁飛名單）”和“SELECTEE”的 CSV 文件的形式列出了一些飛往美國時在機場接受二級安檢（SSSS）的乘客。黑客論壇上公布的禁飛名單包含 1566062 條記錄（部分重復(fù)），SELECTEE 名單包括 251169 條記錄，重復(fù)和別名意味著暴露的姓名總數(shù)少于 150 萬。

值得一提的是，兩個列表都包含用戶的名、姓、潛在的別名和出生日期。據(jù)黑客稱，這些名單是 2019 年的。據(jù) Daily Dot 觀察，列表名單提到了俄羅斯軍火商維克托·布特及其 16 個潛在化名。

禁飛名單無疑是國家機密，據(jù)悉，美國聯(lián)邦調(diào)查局 TSC（恐怖分子篩查中心）是多個聯(lián)邦機構(gòu)用來管理和共享反恐綜合信息，該機構(gòu)就有一個名為“恐怖分子篩查數(shù)據(jù)庫”的觀察名單，有時也稱為“禁飛名單” ，考慮到這些數(shù)據(jù)庫在協(xié)助國家安全和執(zhí)法任務(wù)方面發(fā)揮著至關(guān)重要的作用，因此絕對保密，即使不是“機密”信息，也被視為敏感的資料。

因此，禁飛名單通常不為公眾所知，但是私營航空公司和國務(wù)院、國防部、運輸安全局（TSA）、海關(guān)和邊境保護(hù)局（CBP）等多個機構(gòu)都會參考這份名單，以檢查乘客是否被允許飛行，是否能夠進(jìn)入美國。

包括鮑勃·迪亞琴科（Bob Diachenko）在內(nèi)的研究人員此前就已發(fā)現(xiàn)互聯(lián)網(wǎng)上暴露的秘密恐怖分子監(jiān)視名單，但這些信息早在主流新聞報道之前就被修補好了。然而，此次“禁飛名單”是第一次在公眾可訪問的網(wǎng)站上共享。

有趣的是，與此次黑客論壇上發(fā)布的名單相比，迪亞琴科在 2021 發(fā)現(xiàn)的名單相當(dāng)詳細(xì)，其中姓名、性別、護(hù)照號碼，甚至護(hù)照簽發(fā)國、觀察名單 ID 等字段都包含。

美國政府正在調(diào)查“禁飛名單”泄露事件

盡管此次安全漏洞源于一家航空公司的 AWS 服務(wù)器，但這種行為足夠使美國政府機構(gòu)感到震驚。目前，美國政府官員和立法者都在調(diào)查此事。

1 月 27 日，美國運輸安全管理局向機場和航空公司發(fā)布了安全指令，旨在強化處理敏感安全信息和個人身份信息的現(xiàn)有要求，以保護(hù)系統(tǒng)和網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊。

除此之外，據(jù)一位知情人士透漏，沒有任何 TSA 信息系統(tǒng)被破壞，聯(lián)邦機構(gòu)已向所有航空公司發(fā)布了行業(yè)安全意識信息，以審查其系統(tǒng)并立即采取行動確保其文件受到保護(hù)。

CommuteAir 表示，截至目前沒有客戶數(shù)據(jù)被泄露，公司也向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局報告了數(shù)據(jù)暴露情況，并通知其員工。

1 月 26 日，美國國土安全委員會成員在信中強調(diào)，黑客聲稱其可能已經(jīng)能夠利用服務(wù)器，取消或推遲航班，甚至換掉機組成員，如果情況屬實，會嚴(yán)重影響國家安全。

注：黑客 maia arson crimew，此前使用 deletescape、antiproprietary 和 Tillie Kottmann 等別名，曾被美國以共謀、電信欺詐和嚴(yán)重的身份盜竊（PDF）起訴。