Die Schweizer Hackerin Maia Arson (23) (diesen Namen hat sie vor einem Jahr für sich gewählt) hat am Freitag die Flugverbotsliste der US-Behörde für Transportsicherheit (TSA) auf einem ungesicherten Computerserver entdeckt. Die Namen von rund 1,5 Millionen bekannten oder mutmasslichen Terroristen waren öffentlich zugänglich. Das Datenleck sorgt in den USA für hohe Wellen. Politiker fordern eine Kongressuntersuchung. Denn wer auf dieser Liste steht, muss drastische Kontrollen über sich ergehen lassen – oder wird erst gar nicht in ein Flugzeug gelassen.
Bei der Hackerin handelt es sich um die 23-jährige Luzernerin Maia Arson, die unter dem Pseudonym Maia Arson Crimew bekannt ist. Kurz auch Crimew genannt, hat Arson bereits in zahlreichen Fällen vertrauliche Daten von US-Behörden und -Firmen veröffentlicht. In den USA droht ihr ein Haftbefehl. Arson soll hinter dem Hack von über 150'000 Überwachungskameras der US-Firma Verkada im März 2021 stehen.
Arson überschreitet nach eigenen Angaben bewusst die Grenzen des Gesetzes – um Sicherheitslücken aufzuzeigen und Daten publik zu machen, die aus ihrer Sicht von öffentlichem Interesse sind, wie Arson gegenüber Swissinfo erklärte. Die Flugliste habe sie «aus Langeweile» geknackt, schreibt Arson auf ihrem Blog.
Fall für den US-Kongress
Die Hackerin steht jetzt erneut im Visier der US-Behörden, nachdem sie letzte Woche aufgezeigt hatte, dass die Identitäten von Hunderttausenden von Personen aus der Datenbank der US-Regierung für terroristische Überprüfungen öffentlich zugänglich waren.
Die Liste mit den Namen von Hunderttausenden von Terrorverdächtigen sorgt für Unruhe in den USA. «Abgesehen von der Tatsache, dass die Liste ein Alptraum für Bürgerrechte ist, stellt sich die Frage, wie diese Informationen so leicht zugänglich waren», schrieb der republikanische Abgeordnete Dan Bishop (58) auf Twitter.
Laut Bishop wird der Kongress die Offenlegung der Daten untersuchen müssen, wie CNN berichtet.
Anleitung zum Hacken veröffentlicht
Der ungesicherte, von der US-Fluggesellschaft CommuteAir betriebene Server machte neben vertraulichen Firmen- und Mitarbeiterdaten auch eine 80 Megabyte grosse Datei mit dem Namen «NoFly.csv» zugänglich. Darin wird auf eine Untergruppe von Personen in der sogenannten «Terrorist Screening Database» verwiesen. Den genannten Personen sind Flugreisen aufgrund vermuteter oder bekannter Verbindungen zu terroristischen Organisationen verboten.
Arson veröffentlicht in ihrem Blog alle relevanten Daten und die genaue Anleitung, wie sie sich die vertraulichen Daten «geknackt» habe. Auf Twitter verlinkt sie zu einem Beitrag mit dem Titel «Wie man in drei einfachen Schritten eine Fluggesellschaft komplett übernehmen kann – und nebenbei die TSA-Flugverbotsliste knackt».
Nach Angaben von Arson enthält die Liste mehr als 1,5 Millionen Einträge. Die Daten führen sowohl Namen als auch Geburtsdaten sowie Pseudonyme auf. Auf der Liste stehen mehrere bekannte Personen, darunter der kürzlich freigelassene russische Waffenhändler Viktor But (56), für den mehr als ein Dutzend Decknamen aufgeführt werden. Auch mutmassliche Mitglieder der irischen IRA sind aufgeführt.
Hausdurchsuchung auf Ersuchen der US-Behörden
«Für mich ist es einfach verrückt, wie gross die ‹Terrorism Screening Database› ist», erklärte Arson dazu. Bei den «Millionen Einträgen gibt es einen klaren Trend zu fast ausschliesslich arabisch und russisch klingenden Namen».
In den letzten 20 Jahren seien unverhältnismässig viele US-Bürger auf die Überwachungsliste gesetzt worden, die Muslime oder arabischer, nahöstlicher oder südasiatischer Abstammung seien, zitieren US-Medien dazu die Bürgerrechtlerin Hina Shamsi von der American Civil Liberties Union. «Manchmal sind es Menschen, die eine andere Meinung haben oder die als unpopulär gelten. Wir haben auch schon erlebt, dass Journalisten auf Beobachtungslisten standen.»
Arson hat den US-Behörden ihre Zusammenarbeit angeboten. «Ich stehe für Kommentare zur Verfügung», schrieb sie auf Twitter. Dabei war Arson im März 2021 von einem US-Geschworenengericht wegen angeblicher Hacking-Aktivitäten zwischen 2019 und 2021 angeklagt worden. Auf Ersuchen der US-Behörden hatte die Schweizer Polizei ihre Wohnung und die ihrer Eltern durchsucht und Computer beschlagnahmt.