Швейцарская девушка-хакер выложила в Сеть список "No Fly" службы авиабезопасности США
Список содержит до 1,5 млн имен и псевдонимов лиц, которые вызывают подозрения у службы авиабезопасности США и могут быть не допущены на борт. К примеру, в нем значится Виктор Бут. При этом файл был не зашифрован и открывался в любой программе, работающей с данными.
Службы американской авиабезопасности в растерянности – в Сеть утек список лиц, которым может быть запрещен доступ на борт воздушного судна.
Сообщается, что файл весом 80 мегабайт с незамысловатым названием "No Fly" содержит до полутора миллионов имен, и не только американских, но и граждан всего мира. В данных указаны как имена и даты рождения, так и псевдонимы. В нем можно найти не только предполагаемых членов Ирландской республиканской армии, но и некоторые известные имена – например, недавно обмененного на американскую баскетболистку Бриттни Грайнер 56-летнего россиянина Виктора Бута, для которого указано более десятка псевдонимов. То, что список лиц, подозреваемых в терроризме, оказался в открытом доступе, вызвал настоящий скандал в Соединенных Штатах. «Помимо того, что этот список является кошмаром в области гражданских прав, непонятно, как эта информация оказалась столь легко доступна», — написал в Twitter депутат-республиканец Дэн Бишоп. В России с некоторых пор также появились подобные списки. Но террористов в них нет, объясняет адвокат "Форвард Лигал" Людмила Лукьянова:
«У нас в России договор перевозки – это публичный договор и по общему правилу авиакомпании не могут не продать билет на рейс пассажиру. Но бывают ситуации, когда пассажиры действительно попадают в блэклисты авиакомпаний. Есть в Кодексе об административных правонарушениях статья, которая называется «невыполнение указаний сотрудников воздушного судна». В случае, если такой пассажир привлекается к ответственности по этой статье и решение вступает в законную силу, авиакомпания имеет право внести пассажира сроком на год в этот блэклист».
Многие журналисты написали об этом списке, как о списке лиц, которым в США безусловно запрещен доступ на борт воздушного судна. Они неправы, так как не поняли, о чем идет речь, говорит член правления Российской ассоциации пилотов и владельцев воздушных судов Леонид Кошелев:
«Это список TSA. Это огромное американское ведомство, где работают тысячи людей. Это те, кто проверяет людей в аэропортах со сканнерами и рамками. Помимо людей они еще и авиакомпании проверяют. В принципе это не означает, что это список авиакомпаний, которые людей не пускают на самолеты. TSA, допустим, часто заставляют авиакомпании присылать список авиапассажиров на рейсы, которые летят в Соединенные Штаты, еще до вылета этого рейса. Но это не значит, что людей не пускают на самолеты. Это значит, что они пытаются следить за всеми подозрительными и потом их как следует проверять».
По сути, и полноценным взломом то, что сделал хакер Crimew назвать нельзя. То есть доступ к компьютеру он, вероятно, получил незаконно. А вот сам файл с миллионами имен хранился в незашифрованном текстовом файле CSV, который запросто можно открыть в "Excel" или другой подобной программе по работе с данными. В России подобное просто невозможно. По той простой причине, что ведомства, подобного американской TSA, в ней не существует, а списки отдельные компании и аэропорты ведут самостоятельно. Говорит главный редактор портала "FrequentFlyers.ru" Илья Шатилин:
«Закон о черных списках действует с 2018 года. Есть три способа попасть в этот список: это хулиганство на борту, совершение действий, угрожающих безопасности эксплуатации воздушного судна, а также «невыполнение распоряжений командира воздушного судна». Это может быть любое непослушание. Можно ручную кладь у аварийного выхода, например, складывать. Или пересаживаться на свободные кресла. Или не выключать телефон или планшет, или ноутбук во время полета. Вариантов, по сути, очень много. Только по решению суда могут внести в черный список».
Самое примечательное в этой истории это то, что за псевдонимом Crimew стоит 23-летняя гражданка Швейцарии Тилли Коттманн из Лозанны. Она считает, что порой важно выходить за рамки закона, чтобы проверить уязвимости в системе безопасности. Что касается взлома списка лиц, запрещенных к полетам, она написала в своем блоге, что сделала это только просто потому, что ей было скучно.
Однако это объяснение мало успокоило американские власти. То, что имена полутора миллионов настоящих и предполагаемых террористов отказались в открытом доступе –это удар по системе безопасности вообще, считают они. И могут принять меры против швейцарки, которая уже не впервые сталкивается с американскими правоохранительными органами. В марте 2021 года Большое жюри присяжных США по уголовным делам предъявило Тилли Котманн обвинение, связанное с ее предполагаемой хакерской деятельностью в период с 2019 по 2021 год. Тогда в ее доме и доме ее родителей по запросу властей США швейцарская полиция провела обыск, в ходе которого были изъяты ее электронные устройства.
Источник: "BFM.ru", Андрей Жвирблис.
Каждый может узнать, не подозревают-ли его службы авиабезопасности.
Как прокачать репу у служы авиабезопасности?
Кто-то сомневался, что списки лиц, к которым пристальное внимание, или вообще бан, существует? Нет. Больше того, я как пассажир вполне за, мне не хочется летать с опасными людьми.
Кого-то удивляет, что это обычный файл на "компьютере, доступ к которому получен незаконно"? Ну так защита была на доступе к компу. Ну и вообще, с этими данными работают тысячи клерков в аэропортах, они особенно секретом не являются.
Короче, больше кипиша у журнашлюх, чем реальный повод.
А то наверное кто-то вообразил что вот её хватает SWAT и утаскивает в неизвестном направлении. А сколько шагов должно быть сделано, чтобы это произошло мало кто задумывается. Ровно как и о том, сколько из этих шагов имеет все шансы не получиться, и о том есть ли люди которые достаточно мотивированы чтобы это сделать.
SWAT или нет, а нескучную жизнь ей могут устроить и удалённо
https://aviation-safety.net/database/No_fly_list.csv
Можешь сделать офигенно засекьюренную базу данных, но найдётся эффективный проджект-менеджер, который выгрузит себе её в CSV файлик, "чтобы каждый раз долго не грузилось" и будет хранить на своём розовом макбук эйр с паролем "123456".
Ни о какой ебать её в сраку секретности здесь говорить невозможно.
Хинт: ни одна нормально спроектированная система не дает пользователю доступа больше, чем нужно для выполнения прямых должностных обязанностей. Если тебе надо проверить, не является ли хер перед твоей стойкой в аэропорту нежелательным лицом - ты вбиваешь данные его паспорта, а система тебе зажигает красную или зеленую лампочку, не предоставляя больше никакой информации - как она эти данные получила, как проверяла, кто еще есть в базе и так далее.
А если система позволяет скачать юзеру всю базу - то это система, спроектированная рукожопами. А если вместо системы у тебя эксель с миллионом записей - то значит, что эффективные менеджеры попилили бюджет.
По остальному... Ну, секретность инфы по счёту, кстати, тоже очень условная. Но всё-таки банк это банк, у него куча правил и для работы с картами PCI DSS, и прочие регламенты.
А данные по заказам всякой хуйни по умолчанию несекретны вообще. Я их трактую именно так. Недавно я заказал новый дилдак, пусть кому эти знания зачем-то нужны, пользуются. И гугл пусть рекламу дилдаков кажет, а не той хуйни, которую он обычно подсовывает.
Стрелять-колотить, Сычев заказывает уже восьмой дилдак, седьмой литр лубриканта и сотую фигурку поней, а вся наша контектная реклама психологической помощи и реабилитации не не помогла, давайте попробуем спасти его ментальное (и анальное) здоровье религией!
%подсовывает рекламу храма божьего%
Эх, бросить бы все, загрузить в свой Боинг оборудование для спирта, и улететь нахуй подальше...
Праильно, пущай летают XD