חוקר אבטחת מידע שוויצרי טוען שמצא רשימת No Fly משנת 2019 בשרת אינטרנט לא מאובטח השייך לחברת תעופה אזורית בשם CommuteAir. רשימת No Fly היא רשימה של נוסעים אסורי טיסה מסיבות שונות, ביניהן גורמים בעלי סיכון ביטחוני.
ההאקטיביסט, שפועל תחת הכינוי maia arson crimew מצא את הרשימה ערב אחד בזמן שגלש במנוע חיפוש של מכשירים מחוברים לאינטרנט (IOT) בשם Shodan. מנוע החיפוש המדובר משמש פעמים רבות חוקרי אבטחת מידע והאקרים לאיתור שרתים ברשת האינטרנט עם מידע רגיש או שרתים שרגישים לפריצות. לפי crimew, שרת נגיש לציבור המנוהל על ידי CommuteAir הכיל קובץ טקסט שכותרתו "NoFly.csv" עם יותר מ-1.5 מיליון שמות.
חברת CommuteAir היא המפעילה הבלעדית של של מטוסי האמבראר 145 עבור יונייטד אקספרס, חברת התעופה האזורית של יונייטד איירליינס.
רשימת ה-No Fly, אסורי הטיסה, היא רשימת פדרלית שמתוחזקת על ארה״ב וכוללת קבוצה של טרוריסטים ידועים, או חשודים, אשר נאסר עליהם לטוס לארה"ב או בה. הרשימה גדלה במאות אלפי רשומות מאז הפיגועים ב-11 בספטמבר 2001.
רשימת אסורי הטיסה מכילה שמות/כינויים ותאריכי לידה של אנשים שידועים או חשודים כמעורבים בפעילות בעלת סיכון ביטחוני. הרשימה אוסרת על מי שנמצא בה לטוס בחברות תעופה מסחריות הנוסעות בארה"ב, אל או ממנה. הרשימה כללה למשל את סוחר הנשק הרוסי הידוע ויקטור בוט יחד עם 16 כינויים אפשריים עבורו. בעוד שהרשימה הכילה שמות ממגוון רקעים, כולל חשודים בחברות ב-IRA, ארגון חצי-צבאי אירי, נראה כי שמות רבים היו ממוצא ערבי או מזרח תיכוני, לפי חוקר אבטחת המידע שמצא את הרשימה.
במינהל אבטחת התחבורה בארה״ב הצהירו כי הם "מודעים לאירוע פוטנציאלי של אבטחת סייבר, אנחנו חוקרים את האירוע בתיאום עם השותפים הפדרליים שלנו".
"זה פשוט מטורף בעיני עד כמה גדול מסד הנתונים של המעורבים בטרור, ובכל זאת יש עדיין מגמה ברורה מאוד לאורך הרשימה לעבר שמות שנשמעים כמעט אך ורק בערבית וברוסית ", מסר חוקר אבטחת המידע שגם ציין כי חלק מהאנשים ברשימה היו בני ארבע או חמש בלבד בזמן שהם היו ברשימה.
בתגובה למקרה מסרה חברת התעופה CommuteAir כי הנתונים בשרת מכילים "גרסה מיושנת משנת 2019 של רשימת אסורי הטיסה הפדרלית עם שמות ותאריכי לידה״. חברת התעופה מסרה שהיא הורידה את השרת מרשת האינטרנט לאחר שקיבלה את העדכון מחוקר אבטחת המידע.
נכון לעכשיו לא ידוע האם גורמים זדוניים הצליחו לשם את ידם על הרשימה לפני שנתגלתה על ידי חוקר אבטחת המידע.
