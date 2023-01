La base de données avec plus de 1,5 million de noms et d’alias aurait été découverte sur un serveur non sécurisé

L’administration américaine de la sécurité des transports serait en train de contrôler les dégâts après qu’un pirate informatique suisse ait trouvé une copie du tristement célèbre rapport du FBI. “pas de vol” liste sur un serveur non sécurisé appartenant à la compagnie aérienne régionale américaine CommuteAir.

Dans une déclaration au point de vente technologique le Daily Dot jeudi, la TSA a reconnu qu’il était “conscient d’un incident de cybersécurité potentiel” et enquêter avec d’autres organismes fédéraux.

Le pirate informatique, qui s’appelle « Maia Arson Crimew », a trouvé une copie vieille de quatre ans de la liste d’interdiction de vol, un sous-ensemble de la base de données de dépistage des terroristes du FBI composée d’individus interdits de voyager en avion sur leur terroriste connu ou présumé. liens, tout en fouillant dans un serveur Jenkins non sécurisé, selon un article de blog jeudi.

Stocké dans un fichier de base de données non crypté et nommé de manière utile en tant que nofly.csv, les données comprenaient 1,5 million d’entrées, noms et dates de naissance. Alors que beaucoup étaient des pseudonymes – Viktor Bout, l’homme d’affaires russe emprisonné aux États-Unis pour trafic d’armes jusqu’au récent échange de prisonniers avec le basketteur américain Brittney Griner, avait plus de 16 noms et orthographes alternatifs répertoriés, ainsi que plusieurs anniversaires possibles – crimew a néanmoins exprimé son choc à la taille de la liste.

“C’est tout simplement fou de savoir à quel point cette base de données de dépistage du terrorisme est importante et pourtant, il existe encore des tendances très claires vers des noms à consonance presque exclusivement arabe et russe parmi le million d’entrées”, elle a dit au Daily Dot.

Les valeurs aberrantes comprenaient des membres présumés du groupe paramilitaire irlandais l’IRA, ainsi qu’un individu qui – à en juger par sa date de naissance, au moins – n’avait que huit ans.

Le serveur comprenait également des informations privées sur environ 900 employés de CommuteAir, notamment des noms, des numéros de passeport, des adresses et des numéros de téléphone, selon crimew. La compagnie aérienne a déclaré au Daily Dot qu’elle avait mis le serveur hors ligne et signalé l’accès non autorisé à la Cybersecurity and Infrastructure Security Agency, tout en soulignant que le serveur avait été utilisé pour “à des fins de test” et aucune donnée client n’a été violée – seulement celle des employés.

Un juge fédéral a déclaré la base de données de dépistage du terrorisme inconstitutionnelle en 2019, arguant que parce qu’il n’y avait pas “norme vérifiable pour l’inclusion et l’exclusion”, il a violé les droits à une procédure régulière des personnes nommées sur la liste. Il n’y a eu aucune tentative significative pour faire appliquer cette décision depuis. Le FBI partage la liste avec plus de 500 entités du secteur privé qu’il juge « adjacentes à l’application de la loi », ainsi qu’avec plus de 60 gouvernements étrangers.