En la lista figuran los nombres, alias y fechas de nacimiento de personas de las que se ha demostrado o se sospecha fundadamente que pueden ser terroristas.
Las personas incluidas en la lista no pueden viajar en ninguna aerolínea comercial que opere dentro de Estados Unidos, con destino a ese país o desde él.
The Daily Dot fue el primero en anunciar que la hacker/investigadora de seguridad suiza maia arson crimew (antes Tillie Kottmann) descubrió una copia de la lista de exclusión aérea del gobierno estadounidense en un servidor AWS mal configurado.
Crimew descubrió la lista de exclusión aérea de EE.UU. mientras navegaba por Shodan, un buscador de dispositivos conectados a Internet.
La hacker afirmó que el servidor de CommuteAir de acceso público incluía un archivo de texto llamado “NoFly.csv” que contenía más de 1,5 millones de nombres.
Declaró a Business Insider que tardó “sólo unos minutos” en conectarse al servidor y obtener los datos de acceso que necesitaba para acceder a la base de datos. Dijo que no buscaba nada que pudiera poner en peligro la seguridad nacional de EE.UU., sino que navegaba por los servidores para pasar el rato.
A pesar de los intentos de solucionar el problema, la lista de exclusión aérea se publicó en un foro de hackers de acceso público el 26 de enero.
La lista revelada es un subconjunto de la Base de Datos de Detección de Terroristas del FBI, que es secreta para el público (TSD).
Varias agencias gubernamentales estadounidenses dependen del TSC (Terrorist Screening Center) del FBI para procesar y entregar información antiterrorista unificada. Dada su importancia para la seguridad nacional y la aplicación de la ley, al igual que otras bases de datos del TSC, se considera sensible.
Los hechos están siendo investigados por la Administración de Seguridad en el Transporte (TSA). “La TSA emitió una orden de seguridad a los aeropuertos y compañías aéreas el 27 de enero. La directiva de seguridad refuerza las normas actuales para tratar la información sensible de seguridad y la información personal identificable. Seguiremos colaborando con nuestros socios para garantizar la aplicación de normas de seguridad que protejan los sistemas y las redes de los ciberataques”, declaró una portavoz.
Según un representante de CommuteAir, los datos del servidor expuesto contenían una versión desactualizada de 2019 de la lista federal de exclusión aérea, con nombres y fechas de nacimiento. Ahora ha desactivado el servicio. “Hasta ahora, nuestra investigación ha demostrado que no se ha puesto en peligro ningún dato de los clientes. CommuteAir alertó a sus trabajadores sobre la vulnerabilidad de los datos y lo comunicó a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras”.