Selecteer een pagina

Gigantisch datalek bij FBI met 1,9 miljoen records van potentiële terroristen

Het Terrorist Screening Center van de FBI en het Department of Homeland Security (DHS) blijken drie weken lang geen actie te hebben ondernomen om een gigantisch datalek te dichten.

Een onderzoeker ontdekte een gegevenscache van het Terrorist Screening Center van de FBI die online was achtergelaten zonder wachtwoord of authenticatievereiste.

De gegevens bleven nog drie weken lang blootgesteld, zelfs nadat het Department of Homeland Security (DHS) erover was ingelicht.

Volodymyr Diachenko, die in de volksmond als “Bob” door het leven gaat en hoofd is van beveiligingsonderzoek bij Comparitech, vond de records “zonder wachtwoord of andere authenticatie die nodig is om er toegang toe te krijgen” op 19 juli 2021, onthulde hij in een post op LinkedIn.

“De watchlist was afkomstig van het Terrorist Screening Center, een groep met meerdere agentschappen die wordt beheerd door de FBI,” schreef hij in de post. “Het TSC onderhoudt de no-fly lijst van het land, die een subset is van de grotere watchlist.”

De no-fly lijst is een lijst van personen die door de federale Amerikaanse overheid als gevaarlijk of in staat tot terroristische activiteiten worden beschouwd en die niet aan boord van een commercieel vliegtuig zouden mogen gaan.

“Een typisch record” in de lijst die Diachenko ontdekte bevatte de volledige naam, nationaliteit, geslacht, geboortedatum, paspoortnummer, no-fly indicator en meer informatie van de verdachte terrorist, zei hij.

Diachenko postte een screenshot met informatie uit de lijst geredigeerd, op zijn Twitter feed.

“Het blootgestelde Elasticsearch-cluster bevatte 1,9 miljoen records,” zei hij. “Ik weet niet hoeveel van de volledige TSC Watchlist het heeft opgeslagen, maar het lijkt aannemelijk dat de volledige lijst werd blootgesteld.”

Diachenko zei dat hij de blootgelegde database – die werd gevonden op een IP-adres in Bahrein, niet een Amerikaans – onmiddellijk meldde aan DHS-functionarissen, die enigszins afwijzend overkwamen, zei hij.

De ambtenaren “erkenden het incident en bedankten me voor mijn werk” zonder verder “officieel commentaar” te geven, schreef Diachenko in zijn bericht.

Blootstelling van gevoelige gegevens

Het TSC, dat na 9/11 in het leven werd geroepen, is een centrum dat door meerdere instanties wordt beheerd en onder leiding staat van de FBI. Het centrum is bedoeld als het “geconsolideerde onderdeel van de Amerikaanse regering voor het opstellen van controlelijsten voor terrorismebestrijding”, aldus de website.

Het centrum beheert en exploiteert de Terrorist Screening Database, algemeen bekend als “de watchlist,” dat is “een enkele database die gevoelige nationale veiligheids- en rechtshandhavingsinformatie bevat” gericht op het bijhouden van alle individuen die de feds als doelwit hebben voor potentiële terroristische activiteiten, volgens de site.

“De TSC gebruikt de volglijst om eerstelijns screening agentschappen te ondersteunen bij het positief identificeren van bekende of vermoedelijke terroristen die proberen visa te verkrijgen, het land binnen te komen, aan boord van een vliegtuig te gaan of andere activiteiten te ondernemen,” volgens de TSC website.

De blootgestelde server die de controlelijst hostte werd geïndexeerd door zoekmachines Censys en ZoomEye, aldus Diachenko.

Nadat hij het op 19 juli had ontdekt, meldde hij het dezelfde dag nog aan het DHS. De blootgestelde server werd echter pas ongeveer drie weken later, op 9 augustus, uit de lucht gehaald, zei hij.

“Het is niet duidelijk waarom het zo lang duurde, en ik weet niet zeker of onbevoegden er toegang toe hebben gekregen,” zei Diachenko.

Mogelijk schadelijk scenario

Toegang door een onbevoegd persoon of onbevoegden zou inderdaad potentieel schadelijk kunnen zijn voor degenen op de lijst, die worden verdacht van terrorisme, maar “niet noodzakelijkerwijs zijn beschuldigd van een misdrijf,” merkte hij op.

“In de verkeerde handen zou deze lijst kunnen worden gebruikt om mensen op de lijst en hun families te onderdrukken, lastig te vallen of te vervolgen,” schreef Diachenko. “Het zou een aantal persoonlijke en professionele problemen kunnen veroorzaken voor onschuldige mensen wier namen op de lijst staan.”

Inderdaad, met de recente krantenkoppen over organisaties en regeringen die de Israëlische firma NSO Group’s Pegasus spyware gebruiken om activisten, journalisten, zakenmensen en politici op grote schaal te viseren, is het niet ongebruikelijk om te veronderstellen dat mensen op de watchlist die mogelijk onschuldig zijn, ook in gelijkaardige campagnes verstrikt zouden kunnen raken.

De onthulling benadrukt ook opnieuw hoe belangrijk het is dat alle informatie die is opgeslagen in de cloud of op een publieke internetserver goed wordt geconfigureerd en beveiligd om onbedoelde gegevenslekken en snode campagnes die gebruikmaken van die gegevens te voorkomen, aldus Saumitra Das, CTO en medeoprichter van cloudbeveiligingsbedrijf Blue Hexagon.

“Het blootstellen van gegevens door misconfiguratie is een groot probleem, of we het nu hebben over misconfiguraties in de publieke cloud of van elke dienst die aan het internet is blootgesteld”, zegt hij in een e-mail aan Threatpost.

“Organisaties moeten voortdurend toezicht houden op alle middelen die in hun onderneming worden ingezet om de risico’s van een dergelijke blootstelling te minimaliseren. Dergelijke gegevens kunnen worden verkocht op het dark web of worden gebruikt voor verdere aanvallen, vooral als er referenties bij betrokken zijn.”