Comment un hacker a découvert la liste d’interdiction de vol de la TSA

advertisment

Image de l'article intitulé Comment un pirate informatique a découvert la liste d'interdiction de vol de la TSA

Nous nous sommes tous ennuyés sur Internet, n’est-ce pas ? Sans but faire défiler Twitter ou alors cliquant à travers Tropes de télévision, les yeux brillants alors que nous passons des heures à faire l’équivalent en ligne de revérifier un réfrigérateur vide. Mais certaines personnes, semble-t-il, utilisent leur navigation sur Internet induite par l’ennui pour plus que la simple relecture tous les tropes de Catra. Certains l’utilisent pour faire la lumière sur l’État de surveillance américain.

advertisment

Du moins, c’est ce qu’un hacker suisse maia incendie criminel Est-ce que. Grâce à ses efforts de piratage, elle a mis la main sur toutes sortes d’informations auto-adjacentes – allant de Code source Nissan pour images de caméras de sécurité des usines Tesla. Mais sa dernière acquisition est peut-être sa plus grande à ce jour : La liste d’interdiction de vol de la TSA. Sacré putain de bingle en effet.

Image de l'article intitulé Comment un pirate informatique a découvert la liste d'interdiction de vol de la TSA

Photo: Joe Raedle (Getty Images)

Pour un hack de cette envergure, processus de crimew était relativement simple. Elle a commencé avec un site appelé Zoomeye – une version internationale du moteur de recherche Shodan, qui indexe les appareils connectés à Internet (comme les serveurs et les routeurs) qui ont des ports ouverts pour l’accès à partir du Web plus large. En particulier, crimew recherchait des serveurs exécutant Jenkins, un logiciel qui automatise certaines des tâches les plus fastidieuses de développement et de test de nouveau code. Vous voyez, lors de l’automatisation des processus, les développeurs plus paresseux laissent souvent en place les informations d’identification par défaut – des informations d’identification que les pirates comme crimew peuvent utiliser pour obtenir un accès non autorisé.

En trouvant un serveur plein de mots vaguement aéronautiques, la curiosité de crimew a été piquée. Alors, comme un numéroteur d’autrefois découvrant un nouveau BBS, elle a commencé à fouiner dans ses fichiers et dossiers. Rapidement, elle est tombée sur toutes sortes d’informations sensibles : les manifestes de l’équipage, les communications entre les avions et les équipes au sol, et certains projets qui faisaient référence à quelque chose appelé “nofly” – ainsi qu’un lien où le logiciel cherchait cette liste.

Et, en cliquant sur ce lien, elle l’a trouvé : une feuille de calcul avec 1,5 million de lignes de données, chacune une personne (ou alias, ou alias suspecté) jugée indigne de voler par le FBI. Son contenu n’est pas surprenant – une liste principalement composée de “Moyen-Orient” noms, choisis par des algorithmes qui ne se soucient pas vraiment de savoir si quelqu’un a réellement commis un crime ou non.

À chaque piratage et fuite de données, crimew a souligné à quel point nos informations personnelles sont rarement aussi sécurisées que nous le pensons. Qu’il s’agisse de données sur les ventes de Nissan ou de véritables images de surveillance en direct, les entreprises privées rendent souvent nos informations beaucoup plus largement accessibles que prévu en raison de leur faible sécurité. Maintenant, il semble que nous ayons la preuve que des agences gouvernementales font de même.

.

advertisment

Leave a Comment