La totalidad de la «Lista de exclusión aérea» de EE. UU. ha sido expuesta en línea por un pirata informático suizo que, según los informes, encontró tres archivos confidenciales almacenados en un servidor de almacenamiento en la nube no seguro.
Uno de los archivos contiene la información de más de 1,5 millones de entradas en la lista, que cubre a las personas a las que se les ha prohibido viajar hacia o desde los EE. UU.
Los datos se encontraron por aburrimiento, según un entrada en el blog (se abre en una pestaña nueva) escrito por el pirata informático, conocido en línea como maia arson crimew, que la vio buscar en Shodan servidores Jenkins expuestos.
Incumplimiento de la lista de exclusión aérea
Indagar en el servidor CommuteAir expuesto resultó en el descubrimiento de tres archivos .csv: employee_information.csv, nofly.csv y selectee.csv. Podría decirse que el más notable, y el que ha causado el mayor revuelo en los últimos días, ha sido el nofly.csv, que según se informa contiene la información de volantes prohibidos en los EE. UU.
El archivo nofly.csv tenía un tamaño de casi 80 MB y contenía más de 1,56 millones de filas de datos relacionados con personas que no deben volar dentro de los EE. UU., aunque se ha informado que una gran proporción de estas entradas incluyen alias.
Los alias se utilizan en un esfuerzo por evitar que dichas listas los detecten y pueden implicar cambios en el nombre y el apellido, incluidas las faltas de ortografía comunes y cambios en las fechas de nacimiento.
Un ejemplo de ello, según Punto diario (se abre en una pestaña nueva) que informó por primera vez sobre el asunto, incluye al traficante de armas ruso recientemente liberado, Viktor Bout, con al menos 16 alias relacionados.
En general, se estimó en 2016 que había 81 000 personas individuales en la lista de exclusión aérea de EE. UU., teniendo en cuenta múltiples alias por persona.
Con respecto a los datos expuestos en 2023, crimew dijo: «Es una locura para mí lo grande que es la base de datos de detección de terrorismo y, sin embargo, todavía hay tendencias muy claras hacia nombres que suenan casi exclusivamente en árabe y ruso en el millón de entradas».
Además de esta lista, Crimew también expuso una lista que contiene información de identificación personal de los miembros de la tripulación de CommuteAir, incluidos nombres completos, direcciones, números de teléfono, números de pasaporte, números de licencia de piloto y más.
Erik Kane, gerente de comunicaciones corporativas de CommuteAir, confirmó que los datos eran legítimos y provenían de una versión de 2019 de la lista federal de exclusión aérea, y también reconoció la exposición de los datos del personal. Kane dijo: “Hemos enviado una notificación a la Agencia de Seguridad de Infraestructura y Ciberseguridad y continuamos con una investigación completa”.
TechRadar Pro ha pedido a la compañía más comentarios sobre el asunto.