上周,一名安全可靠科学研究相关人员辨认出了两台不安全可靠的伺服器,其中包含了英国政府的恐怖份子甄选资料库和\”运河区成员名单\”中数千人的身份。该伺服器由被称为maia arson crimew的瑞士骇客找到,由英国区域航空公司CommuteAir持有,被曝露在公共互联网上。它显示了大量的公司统计数据,主要包括近1000名CommuteAir员工的私人信息。
科学研究相关人员对伺服器的分析后辨认出了一个名为\”NoFly.csv\”的文本文件,它指的是恐怖份子筛检资料库中涉嫌或已知与恐怖分子有联系而被禁止搭乘飞机的个人开集。
据crimew报导,这份成员名单或许一共有150数千个词条。那些统计数据主要包括姓名和出生年月。它还主要包括数个表弟,因此涉及到真正个体的数量远远低于150万。该伺服器还存大约900名赵先生的证件电话号码、门牌号和电话号码。CommuteAir运行的40数个AmazonS3伺服器的用户凭据也被曝出。
成员名单上有几个著名的人物,主要包括最近被释放的白俄罗斯金主安德烈·莫罗,和他的16个潜在性别称。那些别称主要包括他的姓和英文名字的其他版的相同、常用的错字,和相同的过生日。很多过生日与记录的莫罗的出生年月一致,苏格兰民兵组织组织IRA的形迹可疑成员也在成员名单上。据crimew报导,另一个人根据其出生年数被列为8岁。
成员名单上的多数词条是或许是亚美尼亚或中东地区后裔的英文名字,尽管西班牙裔和听起来像浸信会的英文名字也在成员名单上。很多英文名字主要包括别称,那些别称是他们英文名字的常用中译或稍作更动的版。
\”对我来说,恐怖活动筛检资料库如此之大,但在这数千个词条中,仍然有较为明显的趋势,即几乎全是亚美尼亚和白俄罗斯读音的英文名字,\”crimew说。
英国ACLU联盟(ACLU)国家安全可靠项目主任斯卡-沙姆西(Hina ShaMSI)说:\”在过去20年里,他们看见被列为检视成员名单的英国公民更少金泽尔伊斯兰教和亚美尼亚或中东地区及南华裔人。有时bilateral相同意见或有被视为不畅销的观点的人。他们也看到记者被列为检视成员名单。\”
TSA在给Daily Dot的这份声明中说,它\”意识到CommuteAir的潜在性信息安全可靠事件,他们正在与他们的联邦政府合作伙伴协调调查\”。
FBI拒绝回答有关该成员名单的具体问题。
在给Daily Dot的这份声明中,CommuteAir说,曝露的基础设施,它被描述为一个开发伺服器,用于测试目的。CommuteAir补充说,根据初步调查,该伺服器在被Daily Dot标记后,在发布前已经下线,没有曝露任何客户信息。CommuteAir也证实了那些统计数据的合法性和真实性,表示这是大约四年前的\”联邦政府运河区成员名单\”的一个版。
\”伺服器包含2019年版的联邦政府运河区成员名单的统计数据,其中主要包括姓名和出生年月,\”CommuteAir公司公关经理埃里克·凯恩说。\”此外,某些CommuteAir员工和航班信息也可以访问。他们已经向信息安全可靠和基础设施安全可靠局提交了通知,他们正在继续进行全面调查。\”
CommuteAir是一家位于俄亥俄州的区域国际航空公司。2020年6月,CommuteAir取代ExpressJet,后者是美联航的一个区域分支,运行距离较短的航班。
据FBI称,恐怖活动筛检统计数据库是这份政府各部门共享的个人成员名单,以防止9/11之前发生的那种情报失误。其中主要包括规模较小、控制更严格的运河区成员名单。恐怖活动筛检资料库中的个人可以受到某些限制,并得到额外的安全可靠检查。明确列为\”运河区成员名单\”的人被禁止在英国登机。
沙姆西说:\”这个国家有一个庞大的、臃肿的检视成员名单系统,可以根据秘密标准和秘密证据将人们–主要包括英国人–污名化为已知或形迹可疑的恐怖份子,而没有一个有意义的程序来挑战政府的错误并清除他们的英文名字。被列为检视成员名单的人的类别或许每次都在扩大,从来没有限制……其后果很严重,对人们的生活有真正的危害。在他们的现代社会中,不能飞行,被挑出来,被搜查,这显然是一种耻辱和尴尬,和生活上的困难。他们已经有母亲和父亲在他们的孩子面前被羞辱和尴尬\”。
对恐怖活动筛检资料库和运河区成员名单的估计由来已久。恐怖活动筛检资料库被估计包含多达100万个词条,而运河区成员名单据说要小得多。
当被要求澄清时,CommuteAir说这是他们主持的\”运河区成员名单\”开集,这意味着它有可能比以前报告的规模大得多。但一位熟悉\”运河区成员名单\”轮廓的专家告诫说,如此规模的成员名单可能是更大的恐怖活动筛检资料库,而不是更小的\”运河区成员名单\”。虽然这份成员名单高度保密,而且很少外泄,但由于需要接触它的机构和个人的数量,它不被认为是这份机密文件。
在给英国ACLU联盟的这份声明中,当时负责恐怖份子筛检中心业务的副主任G.克莱顿-格里格说,虽然该成员名单确实包含机密的国家安全可靠信息,\”将TDSB作为一个敏感但非机密的系统来维护,允许执法筛检相关人员….,使用TSDB的识别信息,即使他们可能不拥有秘密或最高机密的安全可靠许可\”。
crimew的辨认出并不是第一次恐怖份子甄选资料库的不安全可靠版在网上被曝出。安全可靠科学研究员沃洛迪米尔-\”鲍勃\”-迪亚琴科(Volodymyr\”Bob\”Diachenko)在2021年辨认出了这份有190万个条目的恐怖活动检视成员名单的详细副本。
运河区成员名单经常受到隐私和ACLU专家的批评。英国ACLU联盟(ACLU)成功提起诉讼,允许公民对他们被列为成员名单提出质疑。然而,需要做更多的工作来提高成员名单的透明度,沙姆西说。\”它已经是一个庞大和臃肿的系统,当你有一个模糊和过度宽泛的系统,本质上是基于怀疑和没有正当程序的政府监控时,就会出现这种增长……最起码,如果政府要使用检视成员名单,它必须有狭窄和具体的公开标准[进入],并应用严格的公开程序来审查、更新和删除形迹可疑的词条。\”
