Si chiama maia arson crimew, ed è la ricercatrice di sicurezza informatica (di base in Svizzera) che ha trovato per noia un server della compagnia aerea CommutAir che, non essendo adeguatamente protetto, ne ha esposto online il contenuto per chissà quanto tempo.

Non va tutto bene, ma il vero problema è che il contenuto, appunto, riguarda la sicurezza nazionale degli Stati Uniti: su quel server c’era una versione della No Fly List, un documento di sicurezza che le autorità utilizzano per sapere se ad una persona è proibito volare all’interno o dall’esterno per gli Stati Uniti.

La No Fly List, dentro ci sono anche italiani

Come parte di quelle pratiche di sicurezza, messe in atto per fronteggiare il terrorismo dagli Stati Uniti, la No Fly List nasce prima dell’11 settembre 2001, ma è da novembre di quell’anno in poi (dopo i noti attentati), che la lista prende forma e diventa sempre più lunga e corposa.

Di cosa si tratta

Basti pensare che prima degli attentati la lista era composta da 16 nominativi, a novembre erano 400 e oggi sono oltre 1,5 milioni.

A cosa serve la No Fly List? Funziona come una blacklist, chi compare all’interno di quella lista non può imbarcarsi né volare per (e negli) Stati Uniti.

È un documento federale, non è pubblico ma non è classificato perché viene utilizzato quotidianamente proprio per effettuare i controlli negli aeroporti.

Trovare NOFLY.csv

Il problema evidenziato da maia però è relativo al come sia possibile che una piccola compagnia aerea, possa permettersi di trattare con così troppa superficialità, documenti così importanti per la sicurezza delle persone. Il file è trapelato proprio perché maia ha cercato, su Shodan, i server esposti online al fine di vedere se all’interno ci poteva essere del materiale rilevante (insomma, un passatempo qualsiasi!). Si è concentrata sulla ricerca di server Jenkins aperti. Jenkins fornisce server di automazione che aiutano nella creazione, nel test e nel deploy del software (via repository di sviluppo).

Quello che è stato rilevato è dunque un server di sviluppo (di test) della compagnia aerea, abbandonato a se stesso, aperto ed esposto online, il cui contenuto disponibile alla mercé di tutti. Maia lo rileva e indaga all’interno per portare alla luce ciò che espone. La sua attenzione viene subito catturata da “tre file csv, employee_information.csv, NOFLY.CSV e SELECTEE.CSV. Tutti impegnati nel repository nel luglio 2022″.

Ha trovato materiale sensibile. Oltre ai dati di circa 1000 dipendenti della CommutAir, compresi “nomi completi, indirizzi, numeri di telefono, numeri di passaporto, numeri di licenza di pilota, quando è previsto il loro prossimo controllo in linea e molto altro”, afferma maia sul suo blog. Inoltre la lista completa, aggiornata al 2019, di tutte le persone che gli Stati Uniti reputano pericolose e sospette, alle quali non è consentito volare.

Dentro la No Fly List

Questo leak ci dà la possibilità di aggiornare anche il numero di righe, al 2019 presenti all’interno, ora sappiamo con certezza che all’interno ci sono 1.566.063 persone, tra cui terroristi di tutto il mondo, ma anche persone che non hanno alcun sospetto di terrorismo, che per varie ragioni hanno dovuto viaggiare in stati ritenuti pericolosi dagli Stati Uniti e quindi, rappresentati su questa lista.

È utile far presente che la lista è parte di un database più grande mantenuto dal Terrorist Screening Center (TSC) che contiene molti più nominativi ma che evidenziano persone pericolose da sottoporre a controlli più stringenti, ma per i quali il volo è consentito. Chi è presente su questa lista invece, ha proprio l’impossibilità ad imbarcarsi.

Per l’Italia notiamo famosi esponenti delle Brigate Rosse come Giorgio Frau e latitanti ricercati legati alla malavita mafiosa come Giovanni Alimonti, Enzo Calvitti, Roberta Cappelli, Marina Petrella, Giorgio Pietrostefani e Sergio Tornaghi.

Non solo terroristi. Dentro la lista, come detto, vengono inserite anche tutte quelle personalità che effettuano viaggi in Paesi poco graditi agli Stati Uniti, impedendogli così (per un intervallo di tempo) di effettuare viaggi negli USA.

Il problema è la mala gestione

I file che sono trapelati, dopo di che il server è stato messo offline, sono due, nofly.csv (1,5 milioni di righe 75 MB) e selectee.csv (251mila righe e 11,5 MB). La differenza dei due è da ricercare nella gestione del sistema di TSC americano. In effetti la No Fly List è l’elenco dei nominativi a cui è proibito volare, la Selectee list è invece una lista di sospettati, non presenti in NoFly, per i quali è obbligatorio effettuare controlli aggiuntivi ma che possono volare.

Il problema grave è come sia possibile lasciare file di così elevata rilevanza e sensibilità, a compagnie private, senza aver traccia di come vengono conservati. Il fatto che i file non siano secretati è comprensibile, dall’utilità che hanno, ma la consultazione può essere aperta a enti e privati, senza per forza doverne consegnare una copia per intero. Sono contenuti dello stato federale e sarebbe auspicabile che tali rimanessero, dandone accesso in consultazione, ma senza possibilità di estrazione massiva.

Ad ogni modo il leak ora esiste, e nessuno lo estirperà più dalla rete, inoltre si segnala che maia, una volta entrata in possesso dei file, li ha consegnati all’organizzazione DDoSecrets, che ne danno accesso limitato a giornalisti e ricercatori, per fini di analisi.