De beveiligingscontroles op Amerikaanse luchthavens waren door middel van SQL-Injection eenvoudig te omzeilen, zo stellen beveiligingsonderzoekers Ian Carroll en Sam Curry op basis van eigen onderzoek. De Transportation Security Administration (TSA) regelt op Amerikaanse luchthavens de beveiligingscontroles. Voor piloten en bemanningsleden is er het Known Crewmember (KCM) programma, waardoor die langs de beveiligingscontroles kunnen gaan, ook als ze voor privédoeleinden binnenlandse vluchten maken.

Bemanningsleden die van het KCM-programma gebruikmaken moeten een speciale KCM-streepjescode laten scannen en de TSA-medeweker hun bemanningsnummer en luchtvaartmaatschappij geven, alsmede een identiteitsbewijs. Vervolgens kan het bemanningslid zonder verdere checks doorlopen naar het gebied achter de controles. Een soortgelijk systeem is er voor piloten die via de 'jumpseat' in de cockpit meevliegen. Hiervoor is er het Cockpit Access Security System (CASS).

Via CASS kan het gatepersoneel controleren dat de persoon voor de jumpseat een geautoriseerde piloot is. Piloten en bemanningsleden kunnen via een aparte website hun KCM-status controleren. Grote luchtvaartmaatschappijen gebruiken een zelfontwikkeld autorisatiesysteem om aan het KCM-programma en CASS deel te nemen. Kleinere luchtvaartmaatschappijen maken voor hun autorisatiesysteem gebruik van een derde partij. Het achterliggende "hub" systeem wordt beheerd door een bedrijf genaamd ARINC.

De TSA en luchtvaartmaatschappijen kunnen requests naar ARINC sturen, dat het verzoek dan doorstuurt naar het autorisatiesysteem van de betreffende luchtvaartmaatschappij en dan een antwoord ontvangt. In totaal doen er 77 luchtvaartmaatschappijen aan het KCM-programma mee. De onderzoekers vonden op FlyCASS.com een leverancier die voor kleinere luchtvaartmaatschappijen het autorisatiesysteem levert.

FlyCASS verzorgt voor deelnemende luchtvaartmaatschappijen zowel deelname aan KCM als CASS. De website bleek echter kwetsbaar voor SQL-Injection waardoor de onderzoekers als beheerder van de betreffende luchtvaartmaatschappij konden inloggen om vervolgens nieuwe 'medewerkers' toe te voegen. De onderzoekers voegden ter controle een testgebruiker toe, die zowel voor KCM als CASS was goedgekeurd.

Via SQL-Injection kunnen aanvallers met de database achter een website of applicatie communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en andere gevoelige data, te stelen. SQL-Injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren.

"We beseften dat we een ernstig probleem hadden ontdekt. Iedereen met basale kennis van SQL-Injection kon op deze site inloggen en iedereen die ze wilden aan KCM en CASS toevoegen, om zo de securityscreening te omzeilen en toegang tot de cockpits van commerciële luchtvaartmaatschappijen te krijgen", aldus de onderzoekers. Die waarschuwden ARINC en allerlei andere overheidsinstanties, waaronder toezichthouder FAA.

Nadat het probleem verholpen was, wilden de onderzoekers hun bevinding na overleg met de autoriteiten openbaar maken. "In plaats van met ons samen te werken, besloot het ministerie van Homeland Security niet meer op ons te reageren en de woordvoering van TSA gaf gevaarlijke onjuiste statements over de kwetsbaarheid af, waarmee ze ontkenden wat we hadden ontdekt."