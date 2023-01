Seit den Terroranschlägen vom 11. September 2001 führt das "Terrorist Screening Center" des FBI zentrale Listen von Personen, die als Sicherheitsrisiko oder Terrorverdächtige eingeschätzt werden. Diese Personen müssen bei jedem Flug eine erweiterte Sicherheitskontrolle erdulden oder dürfen das Flugzeug gar nicht erst betreten. Eine solche geheime Liste ist nun der Schweizer Hackerin "Maia arson crimew", die unter anderem an dem Verkada-Hack beteiligt war, in die Hände gefallen. Sie fand auf einem ungesicherten Testserver der US-Fluggesellschaft CommuteAir eine 80 MByte große Datei namens Nofly.csv.

Anderthalb Millionen Namen auf der Liste

Die Liste enthält rund 1,5 Millionen Namen, überwiegend aus dem arabischen oder nahöstlicher Umfeld; es finden sich jedoch auch zahlreiche slawisch und spanische klingende Namen darunter. Laut der Nachrichtenseite "The Daily Dot" stehen mutmaßliche Mitglieder der nordirischen Terrorgruppe IRA ebenfalls auf der Liste. Die Hackerin geht darum davon aus, dass es sich um die authentische Flugverbotsliste handelt. Die Daten stammen aus dem Jahr 2019 und wurden von der betroffenen Fluggesellschaft CommuteAir geschwärzt, sodass sie nur Namen und Geburtsdaten der Personen enthalten.

Gegenüber "The Daily Dot" bestätigte die Fluggesellschaft den Zwischenfall und hat den Server noch vor der Veröffentlichung von "The Daily Dot" offline genommen. CommuteAir hat die für den Flugverkehr zuständige Sicherheitsbehörde Transportation Security Administration informiert, die nach eigenen Angaben auf Bundesebene ermitteln werde.

Nofly.csv auf ungesichertem Testserver

Wie die Hackerin in ihrem Blog schreibt, habe sie aus Langeweile in der Computer-Suchmaschine Zoomeye herumgestöbert und sei dabei auf den ungesicherten Testserver von CommuteAir gestoßen, auf dem die Automation-Software Jenkins lief. Nachrichten des Aircraft Communications Addressing and Reporting System (ACARS) hätten die ihr Interesse geweckt, sodass sie genauer nachgeforscht habe, was auf dem Server zu finden sei. Neben Anmeldeinformationen zu diversen Amazon-AWS-Instanzen der Fluglinie fand Maia auf dem Server auch mehrere Namenslisten: employee_information.csv, nofly.csv und selectee.csv. Bei Letzerer handelt es sich laut Maia um eine Liste von Personen, die bei jedem Flug umfangreiche Sicherheitskontrollen erdulden müssen.

Die Hackerin will die Daten nun Personenkreisen zugänglich machen, die ein berechtigtes Interesse daran hätten. Ihr sei bewusst, dass die Listen vertrauliche Informationen enthalten, sie glaube jedoch, dass es "in öffentlichem Interesse liegt, diese Liste Journalisten und Menschenrechtsorganisationen zur Verfügung zu stellen".

Im August 2021 hatte der ukrainische Sicherheitsforscher Wolodymyr Djatschenko ebenfalls eine – vermutlich sogar aktuellere – Liste von Personen gefunden, die die USA als Sicherheitsrisiko einstufen. Damals war eine Datenbank für jedermann frei auf einem Elasticsearch-Cluster mit bahrainischer IP-Adresse zugänglich und enthielt nicht nur die Namen von 1,9 Millionen Personen, sondern unter anderem auch deren Staatsbürgerschaft, Geschlecht, Geburtsdatum, die Reisepassnummer und den "No Fly"-Status.

Die "No Fly"-Liste ist seit Anfang der 2000er-Jahre stark gewachsen. Im Jahr 2006 sollen sich lediglich 44.000 Menschen darauf befunden haben. Die USA haben aber nicht nur gegen Einzelpersonen Flug- und Einreiseverbote verhängt: Die Trump-Regierung hatte 2017 aus Gründen der "nationalen Sicherheit" mehrheitlich den Einwohnern muslimischen Staaten sowie Nordkoreas und Venezuelas die Einreise in die USA untersagt.

(vza)