Lista de pessoas proibidas de viajar de avião vai parar em site de gatinhos
Entediada, hacker fuça servidores desprotegidos, encontra arquivos de companhia aérea e descobre lista secreta de autoridade de segurança da aviação dos EUA
Entediada, hacker fuça servidores desprotegidos, encontra arquivos de companhia aérea e descobre lista secreta de autoridade de segurança da aviação dos EUA
Os EUA mantêm uma lista de pessoas proibidas de viajar de avião por motivos de segurança, a No Fly List. Uma versão de 2019 da relação, contendo mais de 1,5 milhão de entradas, vazou. A responsável por descobrir os arquivos foi uma hacker entediada e fã de gatos.
A lista foi obtida pela hacker suíça maia arson crimew (sim, o nome dela é em letras minúsculas). Ela contou a descoberta em seu blog, e ele não é exatamente como você imaginaria que um blog de hacker fosse.
A página tem fundo cor de rosa e está cheia de imagens de gatinhos. Tem até uma foto da lista com um Pokémon Sprigatito de pelúcia.
O próprio nome escolhido por crimew — ela se chamava Tillie Kottmann — é uma junção de “crime” e “mew”, o “miau” em inglês.
Não é a primeira vez que maia arson crimew participa de um vazamento de destaque. Ela já fez upload de 20 gigabytes de dados proprietários e códigos-fonte da Intel no Mega, em 2020. Em janeiro de 2021, crimew participou de um vazamento de códigos fonte da Nissan.
Como era de se esperar, isso tudo trouxe problemas com a Justiça. Em março de 2021, crimew foi indiciada nos EUA por fraude de computadores, fraude de correspondência e comunicação, e falsidade ideológica. A polícia suíça fez uma busca nas casas da hacker e de seus pais.
O vazamento da No Fly List foi confirmado pela TSA, órgão americano responsável pela segurança nos aeroportos.
A lista continha mais de 1,5 milhão de entradas, com nome, sobrenome e data de nascimento. No entanto, muitos dos nomes são identidades falsas dos mesmos indivíduos. Estima-se que a lista tenha, ao todo, entre 47 mil e 81 mil pessoas.
A No Fly List foi uma das medidas tomadas pelos EUA para reforçar a segurança nos aeroportos após os ataques de 11 de setembro de 2001. Antes disso, apenas 16 pessoas estavam em uma relação chamada No Transport List.
A relação com os nomes estava em um arquivo nada disfarçado, chamado NoFly.csv. Os dados são de 2019. Eles estavam em um servidor Jenkins sem proteção hospedado na AWS. O servidor é da CommuteAir, companhia aérea regional de Ohio (EUA).
Além dessas informações, dados de funcionários da empresa estavam expostos. A CommuteAir diz que informações dos clientes não foram afetadas.
Além do site inusitado, a identidade de crimew também chamou a atenção. Pessoas trans, não-binárias e da comunidade antropomórfica (mais conhecidos como furries, por se vestir como animais) são comuns entre hackers, ativistas e especialistas em cibersegurança.
Alguns usuários do Twitter apontaram alguns motivos para isso. O primeiro é que empresas de tecnologia são menos conservadoras na hora de contratar: “Se você tem conhecimento, pode ter a cara cheia de tatuagens que ninguém vai ligar”, diz um usuário.
Além disso, como muitos trabalhos nessa área são remotos, é mais fácil ter seu próprio estilo de vida, sem ser julgado por outras pessoas.
Outro ponto é que, como muitas dessas comunidades se conectam pela internet, as pessoas tendem a passar muito tempo na rede.
Como disse outra usuária, “se você tem que equilibrar sua vontade de sair e realizar atividades com seu medo de ser morto por não ser normal, faz muito sentido passar mais tempo no computador”. Com isso, os conhecimentos técnicos vão sendo desenvolvidos naturalmente.
A própria crimew, por exemplo, diz que o primeiro passo para obter a No Fly List foi… tédio. Sem ter o que fazer, ela foi fuçando até encontrar servidores protegidos. Lá estavam o servidor da CommuteAir e a lista.