Die US-amerikanische Justiz hält sie für eine Verschwörerin. Doch «wie so viele andere meiner Hacks beginnt diese Geschichte damit, dass ich gelangweilt bin», erklärt Tillie Kottmann, die 23-jährige Softwareentwicklerin aus Luzern, die sich als «Hacktivistin» und ihr Geschlecht als nonbinär bezeichnet.

Kottmanns jüngster Coup: die Entdeckung der Flugverbotsliste der Transportation Security Administration (TSA) – eines der wichtigsten Verzeichnisse in den Vereinigten Staaten. Die sogenannte No Fly List des FBI enthält Namen von über 1,5 Millionen Personen, die in irgendeinem Zusammenhang mit Terrorismusverdacht stehen und deshalb als Bedrohung für die nationale Sicherheit angesehen werden. Ihnen ist der Einstieg in ein Flugzeug nicht erlaubt.

Unter anderen stand auf der Liste der Name des kürzlich freigelassenen russischen Waffenhändlers Viktor Bout – neben über 16 potenziellen Decknamen für den «Händler des Todes». Auch mutmassliche Mitglieder der IRA, der irischen paramilitärischen Organisation, standen auf der Liste. Sogar ein 8-jähriges Kind sei aufgeführt gewesen, berichtete das Mediennews-Portal «Daily Dot», welches zusammen mit Kottmann – die seit 2022 den Namen Maia Arson Crimew trägt – die Daten sichtete.

Crimew hat sich eine Kopie der (nicht mehr aktuellen) Liste beschaffen können, indem die regionale Fluggesellschaft Commute Air diese Daten auf ungeschützten Servern herumliegen liess. Die Entdeckung der Liste, die im letzten Jahr hochgeladen wurde, kündigte Crimew letzten Freitag auf dem eigenen Blog an – technisch detailliert erklärt und dekoriert mit einem Foto eines selbstzufriedenen Pokémon-Charakters.

Zuvor habe sie ungefähr 20 «langweilige»Server mit sehr wenig Interesse durchstöbert, ehe ihr eine Textdatei namens «NOFLY.CSV» aufgefallen sei. Und es war genau das drin, was auf der Verpackung stand: «Der Server enthielt Daten aus einer Flugverbotsliste des Jahres 2019, die Vor- und Nachnamen und Geburtsdaten enthielten», gestand ein Sprecher der Commute Air gegenüber «Daily Dot». Zudem seien bestimmte Mitarbeiter- und Fluginformationen von Commute Air zugänglich gewesen.

«Ich finde es einfach verrückt, wie gross diese Terrorüberwachungsliste ist, und dennoch gibt es bei den Millionen Einträgen immer noch sehr klare Trends hin zu fast ausschliesslich arabisch und russisch klingenden Namen», sagt Crimew. 

Während die Fluggesellschaft aus Ohio von einem Test mit einem Entwicklungsserver – der mittlerweile offline ist – spricht, erklärt die TSA, dass ihr «ein potenzieller Cybersicherheitsvorfall» mit Commute Air bekannt sei. Man führe in Abstimmung mit den Partnern Ermittlungen durch.

Es ist allerdings nicht das erste Mal, dass eine ungesicherte Version der Liste aufgedeckt wurde. 2021 fand der Security-Experte Bob Diatschenko eine detaillierte Kopie der Terror-Beobachtungsliste mit 1,9 Millionen Einträgen. Erstellt wurde die Liste 2001, nach den Anschlägen vom 11. September.

Hausdurchsuchung und Anklage

Crimew sorgte bereits vor zwei Jahren für einen Coup: Gemeinsam mit einer Hackergruppe hatte sie sich Zugang zu 150’000 Liveüberwachungskameras verschafft, die vom US-Hersteller Verkada verkauft wurden. Der Hack ging um die Welt – für das Unternehmen aus dem Silicon Valley eine Peinlichkeit sondergleichen. Daraufhin wurde sie vom Bundesstaat Washington wegen «Verschwörung, Telekommunikationsbetrug und schweren Identitätsdiebstahls» angeklagt. Ihre Wohnung und die ihrer Eltern wurden damals auf Ersuchen der US-Behörden von der Schweizer Polizei durchsucht und ihre elektronischen Geräte beschlagnahmt.

Auch die Hacks beim Autobauer Nissan und beim US-Computerchiphersteller Intel gingen mindestens teilweise auf ihr Konto. Für ihre juristische Verteidigung hatte sie den Schweizer Marcel Bosonnet beauftragt, der auch Anwalt von Whistleblower Edward Snowden ist.

Untersuchung gefordert

Während das jüngste Datenleck die US-Politik erneut beschäftigt – der republikanische Kongressabgeordnete Dan Bishop fordert eine Untersuchung des Vorfalls, den er einen Albtraum für die Rechte der US-Bürger bezeichnet – will Crimew die Daten künftig Personenkreisen zugänglich machen, die ihrer Meinung nach ein berechtigtes Interesse daran hätten.

Ihr sei bewusst, dass die Listen vertrauliche Informationen enthielten, sie glaube jedoch, dass es «im öffentlichen Interesse liege, diese Liste Journalisten und Menschenrechtsorganisationen zur Verfügung zu stellen». Die Flugverbotsliste wurde regelmässig von Experten für Datenschutz und bürgerliche Freiheiten kritisiert. Die US-amerikanische Nichtregierungsorganisation Aclu hat erfolgreich geklagt, damit die Bürger ihre Aufnahme in die Liste anfechten können.

red/nag

Fehler gefunden?Jetzt melden.