Close Menu
  • Ακίνητα
  • Επικαιρότητα
  • Θεσσαλονίκη
  • Τουρισμός
  • Κρήτη
  • More
    • Editor’s Picks
    • Press Release
What's On
Οι δημόσιες ευχές της ηθοποιού και το στιγμιότυπο από το παρελθόν

Οι δημόσιες ευχές της ηθοποιού και το στιγμιότυπο από το παρελθόν

July 7, 2026
Ο Αλεξέι Ποκουσέφσκι παίρνει ελληνικό διαβατήριο και είναι στο στόχαστρο του ΠΑΟΚ

Ο Αλεξέι Ποκουσέφσκι παίρνει ελληνικό διαβατήριο και είναι στο στόχαστρο του ΠΑΟΚ

July 7, 2026
Πέθανε στα 37 της η τραγουδίστρια του «Party Rock Anthem» Λόρεν Μπένετ

Πέθανε στα 37 της η τραγουδίστρια του «Party Rock Anthem» Λόρεν Μπένετ

July 7, 2026
Μήπως ο Dior έδωσε μια πρώτη γεύση από το νυφικό της Tέιλορ Σουίφτ;

Μήπως ο Dior έδωσε μια πρώτη γεύση από το νυφικό της Tέιλορ Σουίφτ;

July 7, 2026
«Καλύτερα ασφαλές παρά συγγνώμη»: Η Ελλάδα εγκαθιστά πλωτό φράγμα για να απομακρύνει τα τοξικά ψάρια | Ελλάδα

«Καλύτερα ασφαλές παρά συγγνώμη»: Η Ελλάδα εγκαθιστά πλωτό φράγμα για να απομακρύνει τα τοξικά ψάρια | Ελλάδα

July 7, 2026
Facebook X (Twitter) Instagram
Facebook X (Twitter) Instagram Vimeo
Mahalsa: Η Φωνή της Ελλάδας
Subscribe Login
  • Ακίνητα
  • Επικαιρότητα
  • Θεσσαλονίκη
  • Τουρισμός
  • Κρήτη
  • More
    • Editor’s Picks
    • Press Release
Home » Terrifying bug let anyone add fake pilots to roster used at TSA checks and skip security screenings
Κρήτη

Terrifying bug let anyone add fake pilots to roster used at TSA checks and skip security screenings

By staffSeptember 10, 20244 Mins Read
Facebook Twitter Pinterest Telegram LinkedIn WhatsApp Email VKontakte Tumblr
Terrifying bug let anyone add fake pilots to roster used at TSA checks and skip security screenings
Share
Facebook Twitter LinkedIn Pinterest Email

Flaws in a third-party app that allows smaller airlines to upload pilots and flight crew onto pre-cleared lists could have helped ‘fake pilots’ skip key security screenings.

The bug would have let malicious actors add anyone they wished to the Known Crewmember program database — which lets the Transportation Security Administration (TSA) identify airline staff who can bypass their security checkpoints.

The two cybersecurity researchers, ‘bug bounty hunters,’ who found the flaw said that they had privately reported the issue last April to both the Federal Aviation Administration and the US Department of Homeland Security, which runs the TSA. 

The troubling discovery follows a TSA report that 300 people have evaded airport security since March 2023: ‘a larger number than we realized,’ the agency said. 

Flaws in third-party app FlyCASS – which allows smaller airlines to upload pilots and flight crew onto pre-cleared TSA lists – may have helped ‘fake pilots’ skip security checks, cybersecurity researchers said. Above, TSA screenings in action at the Denver International Airport in 2019

Only the FAA has taken appropriate action, they said, adding ‘the TSA press office issued dangerously incorrect statements about the vulnerability.’ 

The pair of security researchers, Ian Carroll and Sam Curry, said they uncovered the vulnerability in login systems for the third-party website of the vendor FlyCASS.

FlyCASS allows small airline clients the ability to upload their air crews’ information to both the TSA’s Known Crewmember (KCM) system and FAA’s Cockpit Access Security System (CASS). 

‘Anyone with basic knowledge of SQL injection could login to this site and add anyone they wanted to KCM and CASS,’ the duo said, ‘allowing themselves to both skip security screening and then access the cockpits of commercial airliners.’

‘We realized we had discovered a very serious problem,’ Carroll and Curry added. 

Computer science experts at the University of California at Berkley have described SQL injections as ‘one of the most common web attack mechanisms utilized by attackers to steal sensitive data from organizations.’

The technique leverages a common issue with the Structured Query Language (SQL) used to host databases of information on the web.

The attack allows a hacker to upload actionable SQL code into user interfaces like contact forms on websites or, in this case, the FlyCASS web-based app for airlines. 

Using a series of basic SQL injections, the security researchers were first able to gain administration privileges in FlyCASS for the small, Ohio-based cargo airline Air Transport International.

Carroll and Curry reported that they were then able to upload a fake airline employee for Air Transport International, named ‘Test TestOnly’ with an ID photo and were able to authorize ‘TestOnly’ for both KCM and CASS access.

TSA press secretary R. Carter Langston denied that the security researchers’ findings were as dire as the duo claimed. 

Using 'SQL injection' techniques, security researchers were able to gain administration privileges in FlyCASS for small, Ohio-based cargo airline Air Transport International

Using ‘SQL injection’ techniques, security researchers were able to gain administration privileges in FlyCASS for small, Ohio-based cargo airline Air Transport International

Carrol and Curry reported that they were able to upload a fake airline employee, named 'Test TestOnly,' (above) and were able to authorize the fake for both KCM and CASS access

Carrol and Curry reported that they were able to upload a fake airline employee, named ‘Test TestOnly,’ (above) and were able to authorize the fake for both KCM and CASS access

The two cybersecurity researchers have now also accused the TSA of issuing 'dangerously incorrect statements about the vulnerability' - minimizing the risk it may post to air traffic

The two cybersecurity researchers have now also accused the TSA of issuing ‘dangerously incorrect statements about the vulnerability’ – minimizing the risk it may post to air traffic

TSA, according to Langston, ‘does not solely rely on this database to verify the identity of crewmembers.’ 

‘TSA has procedures in place to verify the identity of crewmembers,’ Langston told Bleeping Computer, ‘and only verified crewmembers are permitted access to the secure area in airports.’

‘No government data or systems were compromised and there are no transportation security impacts related to the activities,’ the agency spokesperson emphasized. 

In an update to their report, Carroll and Curry pushed back, noting that the admin privileges they were able to hack their way into allowed them to also edit already existing profiles in the Known Crewmember database, not just add new ones.

‘Since our vulnerability allowed us to edit an existing KCM member,’ they said, ‘we could have changed the photo and name of an existing enrolled user, which would likely bypass any vetting process that may exist for new members.’

Share. Facebook Twitter Pinterest LinkedIn Tumblr WhatsApp Email

Related Posts

Κρήτη, Κύπρος εγκαινιάζουν Πρωτοβουλία Προσβάσιμου Αθλητικού Τουρισμού

Κρήτη, Κύπρος εγκαινιάζουν Πρωτοβουλία Προσβάσιμου Αθλητικού Τουρισμού

Κρήτη May 27, 2026
Η Κρήτη βρίσκεται στην κορυφή της λίστας με τα καλύτερα φαγητά του National Geographic για το 2026

Η Κρήτη βρίσκεται στην κορυφή της λίστας με τα καλύτερα φαγητά του National Geographic για το 2026

Κρήτη May 22, 2026
Η Ελλάδα λάμπει στη λίστα καλοκαιρινών αποδράσεων 2026 του Lonely Planet

Η Ελλάδα λάμπει στη λίστα καλοκαιρινών αποδράσεων 2026 του Lonely Planet

Κρήτη May 21, 2026
Πρόοδος Αναβαθμίσεων Ασφαλείας σε όλο το Δίκτυο Αυτοκινητοδρόμων ΒΟΑΚ Κρήτης

Πρόοδος Αναβαθμίσεων Ασφαλείας σε όλο το Δίκτυο Αυτοκινητοδρόμων ΒΟΑΚ Κρήτης

Κρήτη May 16, 2026
Η Ελλάδα διατηρεί την Νο.2 κατάταξη στον κόσμο στα Βραβεία Γαλάζιας Σημαίας 2026

Η Ελλάδα διατηρεί την Νο.2 κατάταξη στον κόσμο στα Βραβεία Γαλάζιας Σημαίας 2026

Κρήτη May 15, 2026
Ανεβαίνουν οι κατασκευαστικές δραστηριότητες στον αυτοκινητόδρομο ΒΟΑΚ Κρήτης

Ανεβαίνουν οι κατασκευαστικές δραστηριότητες στον αυτοκινητόδρομο ΒΟΑΚ Κρήτης

Κρήτη May 9, 2026
Our Picks
Ο Αλεξέι Ποκουσέφσκι παίρνει ελληνικό διαβατήριο και είναι στο στόχαστρο του ΠΑΟΚ

Ο Αλεξέι Ποκουσέφσκι παίρνει ελληνικό διαβατήριο και είναι στο στόχαστρο του ΠΑΟΚ

July 7, 2026
Πέθανε στα 37 της η τραγουδίστρια του «Party Rock Anthem» Λόρεν Μπένετ

Πέθανε στα 37 της η τραγουδίστρια του «Party Rock Anthem» Λόρεν Μπένετ

July 7, 2026
Μήπως ο Dior έδωσε μια πρώτη γεύση από το νυφικό της Tέιλορ Σουίφτ;

Μήπως ο Dior έδωσε μια πρώτη γεύση από το νυφικό της Tέιλορ Σουίφτ;

July 7, 2026
«Καλύτερα ασφαλές παρά συγγνώμη»: Η Ελλάδα εγκαθιστά πλωτό φράγμα για να απομακρύνει τα τοξικά ψάρια | Ελλάδα

«Καλύτερα ασφαλές παρά συγγνώμη»: Η Ελλάδα εγκαθιστά πλωτό φράγμα για να απομακρύνει τα τοξικά ψάρια | Ελλάδα

July 7, 2026
  • Facebook
  • Twitter
  • Pinterest
  • Instagram
  • YouTube
  • Vimeo
Don't Miss
8 περίεργα πράγματα που δεν ξέρεις για τα φιλιά Θεσσαλονίκη

8 περίεργα πράγματα που δεν ξέρεις για τα φιλιά

By staffJuly 7, 20260

Τα φιλιά είναι μία από τις πιο συνηθισμένες και τρυφερές εκδηλώσεις αγάπης και οικειότητας. Πέρα…

FIFA για Μπάλογκαν: «Δεν ακυρώθηκε η κόκκινη κάρτα»

FIFA για Μπάλογκαν: «Δεν ακυρώθηκε η κόκκινη κάρτα»

July 7, 2026
Ινφαντίνο και Τραμπ επιβεβαίωσαν την επικοινωνία, απορρίφθηκε η έφεση του Βελγίου

Ινφαντίνο και Τραμπ επιβεβαίωσαν την επικοινωνία, απορρίφθηκε η έφεση του Βελγίου

July 6, 2026
Οι πυρκαγιές μαίνονται στη νότια Ευρώπη, αναγκάζοντας χιλιάδες να εγκαταλείψουν τα σπίτια τους | Πυρκαγιές

Οι πυρκαγιές μαίνονται στη νότια Ευρώπη, αναγκάζοντας χιλιάδες να εγκαταλείψουν τα σπίτια τους | Πυρκαγιές

July 6, 2026
Mahalsa: Η Φωνή της Ελλάδας
Facebook X (Twitter) Instagram Pinterest
  • Privacy Policy
  • Terms of use
  • Advertise
  • Contact Us
© 2026 Mahalsa. All Rights Reserved.

Type above and press Enter to search. Press Esc to cancel.

Sign In or Register

Welcome Back!

Login to your account below.

Lost password?