Stewart International Airport: New Yorker Flughafen wohl ein Jahr schutzlos am Netz

Ein Flughafen bei New York lagerte seine Backups offenbar ungewollt in einer öffentlichen Cloud. Unter den Daten sollen sich E-Mails, Passwortlisten für Flughafensysteme und Personalakten befinden.

Artikel veröffentlicht am ,
Die IT des Flughafens Stewart International bei New York war nur unzureichend abgesichert.
Die IT des Flughafens Stewart International bei New York war nur unzureichend abgesichert. (Bild: Martin Wolf/Golem.de)

Die Backup-Systeme des New Yorker Flughafens Stewart International Airport waren offenbar für mehr als ein Jahr ungeschützt am Netz. Unberechtigte Personen hätten so vertrauliche Daten, Passwörter und andere Informationen einsehen können, berichtet Zdnet und beruft sich auf Informationen des Sicherheitsforscher Chris Vickery von Mackeeper. Vickery hatte die Systeme des Herstellers Air IT nach eigenen Angaben über die Suchmaschine Shodan gefunden.

Der Stewart International Airport liegt rund 100 Kilometer nördlich von Manhattan und wird vor allem für Charterflüge und vom Militär genutzt. Nach Angaben von Vickery agierte das ohne Passwortschutz eingebundene Backup-System "letztlich wie ein öffentlicher Web-Server". Das System soll von einem externen IT-Dienstleister installiert worden sein.

Elf Images, mehrere Hundert Gigabyte

Die im Netz verfügbaren Daten bestanden aus elf Disk-Images mit mehreren Hundert Gigabyte an Dateien. Darunter befanden sich nach Angaben von Zdnet E-Mails des Personals, Akten der Personalverwaltung, interne Memos, Gehaltsabrechnungen und eine Finanzabrechnung. Viele der Dateien sollen mit einem "Vertraulich"-Hinweis gekennzeichnet sein.

Auch Informationen der Behörde für Transportsicherheit (Transportation Security Administration) über mögliche Verstöße gegen die Sicherheitsrichtlinien durch Mitarbeiter des Flughafens sind in den Daten enthalten.

Noch problematischer könnte ein Ordner sein, der eine Liste von Nutzernamen und Passwörtern für eine Reihe von Systemen des Flughafens enthalten soll. Unklar ist, ob diese Systeme ebenfalls über das Internet erreichbar waren oder nicht. Zu den Systemen gehört auch die von Air IT bereitgestellte Infrastruktur zur Passagierverwaltung, die Flughafenmitarbeitern unter anderem Zugriff auf die Passenger Name Records der Passagiere gibt. So war es laut Zdnet theoretisch möglich, Informationen auf Boarding-Pässen zu verändern.

Das Backup wird weiter bei Shodan gelistet, wurde aber mittlerweile mit Nutzernamen und Passwort versehen. Bereits im vergangenen Jahr hatten wir über gravierende Sicherheitsprobleme bei Flugbuchungssystemen berichtet, auch auf dem 33C3 wurden die Schwachstellen thematisiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
JPEG XL
Die Browserhersteller sagen nein zum Bildformat

JPEG XL ist das überlegene Bildformat. Aber Chrome und Firefox brechen die Implementierung ab. Wir erklären das Format und schauen auf die Gründe für die Ablehnung.
Eine Analyse von Boris Mayer

JPEG XL: Die Browserhersteller sagen nein zum Bildformat
Artikel
  1. Walking Simulator: Gameplay von The Day Before erntet Spott
    Walking Simulator
    Gameplay von The Day Before erntet Spott

    Nach Betrugsvorwürfen haben die Entwickler von The Day Before nun Gameplay veröffentlicht - das nicht besonders gut ankommt.

  2. Lasertechnik: Hoffnung auf Femtosekundenlaser für die Hosentasche
    Lasertechnik
    Hoffnung auf Femtosekundenlaser für die Hosentasche

    An der Universität Yale wurde ein Titan-Saphir-Laser auf einem Chip erzeugt und fortgeschrittene Lasertechnik auf Millimetergröße geschrumpft.

  3. Knockout City: Drei Games-as-a-Service weniger in einer Woche
    Knockout City
    Drei Games-as-a-Service weniger in einer Woche

    Rumbleverse, Apex Legends Mobile und Knockout City: Innerhalb weniger Tage heißt es Game Over für drei bekannte Multiplayerspiele.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • HTC Vice 2 Pro Full Kit 899€ • RAM-Tiefstpreise • Amazon-Geräte bis -50% • Samsung TVs bis 1.000€ Cashback • Corsair HS80 7.1-Headset -42% • PCGH Cyber Week • Samsung Curved 27" WQHD 267,89€ • Samsung Galaxy S23 vorbestellbar [Werbung]
    •  /