Een lijst met gegevens van 1,9 miljoen mensen heeft wekenlang online gestaan zonder wachtwoord. Alles wijst er op dat het om een lijst met mogelijke terroristen gaat.
De dataset bevat de naam, geboortedatum, het geslacht, paspoortdetails, of de persoon op een no-fly lijst staat en andere minder duidelijke indicatoren. Securityonderzoeker Bob Diachenko van Comparitech ontdekte de lijst op een Elasticsearch cluster waar het zonder wachtwoord werd bewaard.
Wat de lijst precies is, wordt formeel niet bevestigd, maar zaken als de no-fly status en omschrijvingen zoals ‘TSC watchlist ID’ (TSC staat voor Terrorist Screening Center) doen zeer sterk vermoeden dat het om een lijst gaat die Amerikaanse instellingen of luchtvaartmaatschappijen hanteren om mogelijke terroristen te identificeren.
Wekenlang online
Diachenko ontdekte de lijst op 19 juli en verwittigde het Amerikaanse Department of Homeland Security. Sinds 9 augustus is de lijst offline gehaald. Maar ze werd is intussen ook geïndexeerd door zoekmachines, waardoor Diachenko waarschijnlijk niet de enige is die de gegevens heeft.
Diachenko zegt op LinkedIn dat hij bedankt werd door DHS voor het wijzen op het datalek, maar verder geen uitleg kreeg over de lijst of hoe ze online kwam. Hoewel de TSC-verwijzing doet vermoeden dat het om een dataset gaat die door Amerikaanse instellingen werd samengesteld, stond de data op een server in Bahrein.
Fout opgemerkt of meer nieuws? Meld het hier