Die Schweizer Hackerin Maia Arson Crimew hat eine No-Fly-Liste der USA von 2019 auf einem ungesicherten Server der amerikanischen Fluggesellschaft Commuteair gefunden – dazu eine Liste mit Mitarbeiterdaten des Unternehmens und eine dritte, auf der Menschen stehen, die besonders gründlich untersucht werden sollen.
Davon berichtet die Hackerin auf ihrem Blog. Zudem wurde der Vorfall von der Fluggesellschaft gegenüber dem Magazin The Daily Dot bestätigt. Auf der Liste fand Crimew rund 1,5 Millionen Namen, überwiegend aus arabischen Gebieten.
Außerdem fielen ihr slawisch und spanisch klingende Namen auf. Auch fand sie Namen von mutmaßlichen Mitgliedern der Terrorgruppe IRA auf der Liste, weshalb die Hackerin davon ausgeht, dass sie authentisch ist.
Liste durch Zufall entdeckt
Crimew hat nicht gezielt nach der Liste gesucht. Sie hat sich laut eigenen Angaben in der Suchmaschine Zoomeye umgesehen und ist dabei auf einen Testserver von Commuteair gestoßen.
Einige Nachrichten des Aircraft Communications Addressing and Reporting System auf dem Server haben ihr Interesse geweckt. Bei weiterem Durchforsten der Dateien stieß sie dann auf die drei Files mit den Namen employee_information.cvs, nofly.cvs und selectee.cvs.
Letztere ist die oben angesprochene Liste mit Namen von Menschen, die sich immer einer genauen Kontrolle unterziehen müssen, bevor sie fliegen dürfen. Namen auf der No-Fly-Liste werden gar nicht ins Flugzeug gelassen.
Selektive Verbreitung der Daten
Crimew möchte die Liste nun an die Öffentlichkeit bringen. Allerdings nur unter den von ihr gesetzten Bedingungen. Sie schreibt, dass sie glaubt, die Liste sei von öffentlichem Interesse, allerdings gibt sie sie nur an Journalisten und Menschenrechtsorganisationen weiter, von denen sie glaubt, dass sie „das Richtige damit tun werden“.
Das ist nicht das erste Mal, dass eine Liste mit sensiblen Daten von US-Behörden an die Öffentlichkeit gelangt ist. 2021 hat es die geheime Terrorist-Watchlist des FBI an die Öffentlichkeit geschafft.
Sie wurde ebenfalls von einem Hacker auf einem ungesicherten Server im Internet entdeckt. Jeder Internetnutzer hatte zu diesem Zeitpunkt theoretisch Zugriff auf die Liste.