Près de 2 millions d'enregistrements de la liste de surveillance des terroristes, y compris les indicateurs de liste d'interdiction de vol, auraient été exposés en ligne. La liste a été indexée sur plusieurs moteurs de recherche le 19 juillet, mais le Department of Homeland Security ne l'a supprimée que trois semaines plus tard, comme le rapporte pour la première fois Bleeping Computer Monday.
Chercheur de Security Discovery Volodymyr « Bob » Diachenko a découvert la liste de surveillance, qui semble être le produit du Terrorist Screening Center, le mois dernier. Les fichiers ont été indexés par plusieurs moteurs de recherche dans un format facilement lisible. Les dossiers comprenaient des informations telles que les noms complets, le statut de citoyenneté, la date de naissance, les numéros de passeport et les indicateurs d'interdiction de vol. Aucun mot de passe ou authentification distincte n'était nécessaire pour y accéder, a écrit Diachenko dans un article sur LinkedIn lundi.
“Je l'ai immédiatement signalé aux responsables du Département de la sécurité intérieure”
“Je l'ai immédiatement signalé aux responsables du Département de la sécurité intérieure, qui ont reconnu l'incident et m'ont remercié pour mon travail”, a écrit Diachenko. “Le DHS n'a cependant fourni aucun autre commentaire officiel.”
Le serveur a été indexé par des moteurs de recherche comme Censys et ZoomEye le 19 juillet. Diachenko a découvert les données ce jour-là et les a signalées au Département de la sécurité intérieure. Ce n'est que le 9 août que le serveur a été supprimé. On ne sait pas si des utilisateurs non autorisés ont accédé aux données.
Le Terrorist Screening Center est un centre multi-agences dirigé par le FBI et responsable de la gestion de la liste de surveillance des terroristes aux États-Unis. Il produit une liste de surveillance utilisée par les agences de contrôle comme le DHS et la Transportation Security Authority (TSA) pour identifier les terroristes connus ou suspectés qui tentent d'entrer dans le pays en embarquant dans des avions ou en obtenant des visas. Des bases de données comme celles-ci contiennent des informations extrêmement sensibles liées aux problèmes de sécurité nationale des États-Unis.
Il n'est pas rare que des personnes innocentes soient inscrites sur la liste d'interdiction de vol du FBI. En 2008, NBC a rapporté qu'une compagnie aérienne américaine a enregistré 9 000 faux positifs en une seule journée. En 2010, l'American Civil Liberties Union a déposé une contestation judiciaire au nom de 10 citoyens américains ou résidents permanents qui ont été faussement ajoutés à la liste d'interdiction de vol. En 2014, un tribunal a statué que le gouvernement doit informer les citoyens et les résidents permanents lorsqu'ils sont inscrits sur la liste.