Hackerin findet "No Fly List" der US-Regierung auf Testserver einer Fluglinie

Inhaltsverzeichnis

Seit den Terroranschlägen vom 11. September 2001 führt das "Terrorist Screening Center" des FBI zentrale Listen von Personen, die als Sicherheitsrisiko oder Terrorverdächtige eingeschätzt werden. Diese Personen müssen bei jedem Flug eine erweiterte Sicherheitskontrolle erdulden oder dürfen das Flugzeug gar nicht erst betreten. Eine solche geheime Liste ist nun der Schweizer Hackerin "Maia Arson Crimew", die unter anderem an dem Verkada-Hack beteiligt war, in die Hände gefallen. Sie fand auf einem ungesicherten Testserver der US-Fluggesellschaft CommuteAir eine 80 MByte große Datei namens Nofly.csv.

Anderthalb Millionen Namen auf der Liste

Die Liste enthält rund 1,5 Millionen Namen, überwiegend aus dem arabischen oder nahöstlicher Umfeld; es finden sich jedoch auch zahlreiche slawisch und spanische klingende Namen darunter. Laut der Nachrichtenseite "The Daily Dot" stehen mutmaßliche Mitglieder der nordirischen Terrorgruppe IRA ebenfalls auf der Liste. Die Hackerin geht darum davon aus, dass es sich um die authentische Flugverbotsliste handelt. Die Daten stammen aus dem Jahr 2019 und wurden von der betroffenen Fluggesellschaft CommuteAir geschwärzt, sodass sie nur Namen und Geburtsdaten der Personen enthalten.

Gegenüber The Daily Dot bestätigte die Fluggesellschaft den Zwischenfall und hat den Server noch vor der Veröffentlichung von "The Daily Dot" offline genommen. CommuteAir hat die für den Flugverkehr zuständige Sicherheitsbehörde Transportation Security Administration informiert, die nach eigenen Angaben auf Bundesebene ermitteln werde.

Nofly.csv auf ungesichertem Testserver

Wie die Hackerin in ihrem Blog schreibt, habe sie aus Langeweile in der Computer-Suchmaschine Zoomeye herumgestöbert und sei dabei auf den ungesicherten Testserver von CommuteAir gestoßen, auf dem die Automation-Software Jenkins lief. Nachrichten des Aircraft Communications Addressing and Reporting System (ACARS) hätten die ihr Interesse geweckt, sodass sie genauer nachgeforscht habe, was auf dem Server zu finden sei. Neben Anmeldeinformationen zu diversen Amazon-AWS-Instanzen der Fluglinie fand Crimew auf dem Server auch mehrere Namenslisten: employee_information.csv, nofly.csv und selectee.csv. Bei Letzterer handelt es sich laut der Hackerin um eine Liste von Personen, die bei jedem Flug umfangreiche Sicherheitskontrollen erdulden müssen.

Crimew will die Daten nun Personenkreisen zugänglich machen, die ein berechtigtes Interesse daran hätten. Ihr sei bewusst, dass die Listen vertrauliche Informationen enthalten, sie glaube jedoch, dass es "im öffentlichen Interesse liegt, diese Liste Journalisten und Menschenrechtsorganisationen zur Verfügung zu stellen".

Kein unbeschriebenes Blatt

Die Hackerin hatte im Jahr 2020 Quellcodes von mehr als 50 Unternehmen aus der Tech-, Medien- und Finanzbranche gesammelt und veröffentlicht. Weiterhin war sie an dem Verkada-Hack beteiligt, bei dem 150.000 Überwachungskameras des gleichnamigen US-Startups unter anderem in Krankenhäusern, Gefängnissen, Schulen und Polizeirevieren angezapft wurden.

Das Passwort eines Super-Administrator-Zugangs hatten die Hacker nach eigenen Angaben im Internet gefunden. Kurz danach wurde Crimews Wohnung in Luzern auf Betreiben der US-Behörden durchsucht und Crimew in den USA für Computer- und Überweisungsbetrug sowie Identitätsdiebstahl angeklagt. Ihr wird zur Last gelegt, Quellcode und geschützte Daten von Unternehmen und Behörden in verschiedenen Ländern angegriffen und veröffentlicht zu haben. Wir haben Crimew zu ihren Beweggründen befragt:

heise online: Es scheint ihr Spezialgebiet zu sein, ungesicherte oder nur leicht gesicherte Server im Internet aufzuspüren und kritische Inhalte zu sammeln. Was sind Ihre Beweggründe?

Maia Arson Crimew: Letztlich bin ich ein Anarchist und Antikapitalist und würde dieses System gerne langsam stürzen. In der Zwischenzeit werde ich alles aufdecken, was ich kann, und zeigen, dass es wirklich nicht so schwer ist, etwas zu bewirken, selbst wenn es nur klein ist.

Sie sagten, dass Sie aus "Langeweile" auf Shodan/Zoomeye unterwegs waren. Warum haben Sie dort ausgerechnet nach Jenkins-Servern gesucht?

Crimew: Ich kenne Jenkins sehr gut und weiß, wie viel es da draußen gibt, das nur darauf wartet, entdeckt zu werden. Es gibt andere Software, nach der ich gerne suche, aber dieses Mal war es Jenkins.

In Ihrem Blog klang es recht einfach, auf den Server und die Daten zuzugreifen. Gab es irgendwelche besonderen Hürden, die spezielle Hacking-Fähigkeiten erforderten?

Crimew: Eigentlich nicht, nur etwas allgemeines technisches Wissen und Ausdauer, und, um fair zu sein, vielleicht ein bisschen Intuition, weil ich so etwas schon einmal gemacht habe.

Neben den Nofly- und Selectee-Listen haben Sie auch Zugangsdaten zu AWS-Servern der Fluglinie und Nachrichten des Aircraft Communications Addressing and Reporting System (ACARS) gefunden. Wie kritisch schätzen Sie diese ein?

Crimew: Ich glaube (und vieles davon ist Spekulation, da ich aus Sicherheitsgründen nicht sehr tief gegraben habe), dass es mit dem Zugang zu bestimmten Produktionssystemen ziemlich trivial möglich gewesen wäre, den Flugbetrieb [von CommuteAir] zu stören.

Was versprechen Sie sich davon, die Daten zur Auswertung an Journalisten und Menschenrechtsorganisationen weiterzugeben?

Crimew: Ich meine, letztendlich hoffe ich, dass dies ein Schritt in die richtige Richtung ist, um No Fly Lists und andere ähnliche überzogene Überwachungslisten loszuwerden oder wenigstens ein Licht auf dieses Problem zu werfen.

Befürchten Sie [weitere] rechtliche Schritte gegen sich?

Crimew: Angesichts der bereits laufenden Gerichtsverfahren gegen mich in den USA sollte ich diese Frage aus rechtlichen Gründen nicht beantworten.

Nicht die erste geleakte No Fly List

Im August 2021 hatte der ukrainische Sicherheitsforscher Wolodymyr Djatschenko ebenfalls eine – vermutlich sogar aktuellere – Liste von Personen gefunden, die die USA als Sicherheitsrisiko einstufen. Damals war eine Datenbank für jedermann frei auf einem Elasticsearch-Cluster mit bahrainischer IP-Adresse zugänglich und enthielt nicht nur die Namen von 1,9 Millionen Personen, sondern unter anderem auch deren Staatsbürgerschaft, Geschlecht, Geburtsdatum, die Reisepassnummer und den "No Fly"-Status.

Die "No Fly"-Liste ist seit Anfang der 2000er-Jahre stark gewachsen. Im Jahr 2006 sollen sich lediglich 44.000 Menschen darauf befunden haben. Die USA haben aber nicht nur gegen Einzelpersonen Flug- und Einreiseverbote verhängt: Die Trump-Regierung hatte 2017 aus Gründen der "nationalen Sicherheit" mehrheitlich den Einwohnern muslimischen Staaten sowie Nordkoreas und Venezuelas die Einreise in die USA untersagt.

(vza)