美:FAA飞行员及航空器信息数据库存高危漏洞

admin

据《航空周刊》报道，美国交通部总监察办公室（OIG）新审计报告结果显示，美国联邦航空管理局（FAA）安全控制松懈，黑客或从数十万的航空器与航空从业人员注册数据库中获取到私人信息。审计还发现数千个飞行员和航空器的注册记录是不完整的。
　　OIG表示，这些安全漏洞不仅会将飞行员的个人信息置于危险中，也会妨碍《2004年情报改革和防范恐怖主义法》所要求的事故调查和飞行员安全审查过程。
　　就飞行员数据库而言，OIG称FAA还未对注册信息的配置与账户管理实施必要的安全控制措施，从而无法降低个人身份信息（PII）被未授权访问的风险。当飞行员申请执照时，必须提交他们的社保号、出生日期、飞行小时与测验结果记录。虽然FAA称“自愿提交的注册信息”不在他们的职责范围内，OIG认为依据管理及预算办公室（OMB）以及国家标准与技术研究所（NIST）相关规定，FAA应保护个人信息不受威胁。
　　除此之外，OIG发现FAA用于注册的42个服务器中有70%存在至少一个高危漏洞，信息系统中存在这样的漏洞可能会被未授权的访问者利用。另外，FAA没有对注册信息进行加密，这些注册信息包括个人身份信息以及航空器注册时无意提交的敏感信息。没加密的信息使未授权访问者获取个人信息时更加容易。
　　OIG还发现很多航空从业人员的数据信息有误。FAA未能执行其政策，允许飞行员将公司或飞行学校地址用作资格证书申请。超过43000的航空从业人员未向FAA呈递准确的个人永久居住地址却也获得了资格证书。
　　至于航空器注册数据，OIG从10292个固定翼和螺旋翼航空器注册信息中随机抽取了68个样本，发现其中有37个信息不完整。“据此抽样调查我们估计，有5600也就是有54.4%的非美国居民所有、经信托的航空器，缺少信托所有者和航空器经营人的身份信息或其他重要信息。”外国公民可以通过FAA用信托协议将航空器所有权转移给一名美国受托人，该受托人就可以将此航空器注册到他/她或一个机构的名下。
　　OIG表示，国外民航大量的飞行事故，操作错误以及其他事件中涉及到非美国公民所有通过信托在美国注册的航空器，因为缺少这些航空器的一些注册信息，FAA可能无法满足国外民航监管机构提供飞机相关信息的诉求。(飞行总动员航空网）

许愿