Bijna 2 miljoen records op de watchlist van terroristen, inclusief 'no-fly'-lijstindicatoren, zouden online zijn bekendgemaakt. De lijst werd op 19 juli door meerdere zoekmachines geïndexeerd, maar het Department of Homeland Security verwijderde deze pas drie weken later, zoals voor het eerst werd gemeld door Bleeping Computer Monday.
Security Discovery-onderzoeker Volodymyr “Bob” Diachenko ontdekte vorige maand de volglijst, die het product lijkt te zijn van het Terrorist Screening Center. De bestanden zijn door meerdere zoekmachines geïndexeerd in een gemakkelijk leesbaar formaat. Records bevatten informatie zoals volledige namen, staatsburgerschap, geboortedatum, paspoortnummers en no-fly-indicatoren. Er was geen wachtwoord of afzonderlijke authenticatie nodig om toegang te krijgen, schreef Diachenko maandag in een LinkedIn-bericht.
“Ik heb het onmiddellijk gemeld aan functionarissen van het Department of Homeland Security”
“Ik heb het onmiddellijk gemeld aan functionarissen van het Department of Homeland Security, die het incident erkenden en me bedankten voor mijn werk”, schreef Diachenko. “Het DHS heeft echter geen verder officieel commentaar gegeven.”
De server is op 19 juli geïndexeerd door zoekmachines als Censys en ZoomEye. Diachenko ontdekte de gegevens die dag en meldde het aan het Department of Homeland Security. Pas op 9 augustus werd de server offline gehaald. Het is onduidelijk of onbevoegde gebruikers toegang hebben gehad tot de gegevens.
Het Terrorist Screening Center is een centrum voor meerdere instanties onder leiding van de FBI en verantwoordelijk voor het beheer van de Amerikaanse terroristenlijst. Het produceert een volglijst die wordt gebruikt door screeningsbureaus zoals de DHS en Transportation Security Authority (TSA) om bekende of vermoedelijke terroristen te identificeren die proberen het land binnen te komen door aan boord van vliegtuigen te gaan of visa te verkrijgen. Databases zoals deze bevatten uiterst gevoelige informatie met betrekking tot Amerikaanse nationale veiligheidsproblemen.
Het is niet ongebruikelijk dat onschuldige mensen op de no-fly-lijst van de FBI worden geplaatst. In 2008 meldde NBC dat een Amerikaanse luchtvaartmaatschappij op één dag 9.000 valse positieven registreerde. In 2010 diende de American Civil Liberties Union een juridische uitdaging in namens 10 Amerikaanse staatsburgers of permanente inwoners die ten onrechte waren toegevoegd aan de no-fly-lijst. In 2014 oordeelde een rechtbank dat de overheid burgers en permanent ingezetenen op de hoogte moet stellen wanneer ze op de lijst worden geplaatst.