Несмотря на то, что в наш век смартфонов необходимость в распечатке различных документов отпадает, тем не менее, все еще есть документы, которые мы обязаны распечатывать, т.к. других вариантов нет. Это справедливо и для посадочных талонов, и они, оказывается, содержат достаточно много различной персональной информации, которая не должна попасть в руки посторонних людей, если Вы не хотите столкнуться с проблемами.
Как правило, после возвращения из отпуска многие попросту выбрасывают авиабилеты и посадочные талоны в мусорное ведро, даже не предполагая, что кто-то будет копаться в Вашем мусоре, чтобы найти просроченный авиабилет. К сожалению, это как раз именно то, что и будут делать различные подозрительные типы, которые знают, что эти выброшенные листочки бумаги могут стать ключом к целому ряду личной информации.
Впрочем, что еще хуже, так это сфотографировать свой посадочный талон и опубликовать его в Facebook или Twitter. Загружая эти, казалось бы, невинные фотографии, чтобы порадовать или позлить Ваших друзей, Вы невольно предоставляете свои данные любым другим пользователям Интернета, которые могут использовать эту информацию на фотографии для получения потенциальной выгоды.
«Штрих-коды на посадочных талонах могут позволить любому человеку узнать информацию о Вас, Ваши планы на отпуск, а также Ваш аккаунт часто летающего пассажира», — говорит эксперт по IT-безопасности Брайан Кребс .
В некоторых случаях штрих-код может превратиться в потенциальный кладезь персональной информации, которая может быть использована для атаки на Ваш пользовательский аккаунт на веб-сайте авиакомпании. А информация, закодированная в штрих-кодах, может быть извлечена с использованием бесплатно доступных утилит.
Реальная опасность, связанная с этими посадочными талонами, — это номер часто летающего пассажира, который может быть использован для доступа к Вашему пользовательскому аккаунту на веб-сайте авиакомпании. Знание имени и фамилии пассажира вместе с этим номером – это, по словам Кребса, «первый шаг для получения пароля».
Ниже приведен пример того, как с помощью специальных бесплатных утилит расшифровки данных со штрих-кодов можно получить дополнительную информацию о пассажире. В данном случае, получилось узнать имя и фамилию пассажира, 6-значный record key, аэропорт вылета и прилета, а также код авиакомпании по классификации IATA (в данном случае, Lufthansa) и номер часто летающего пассажира.
Пример информации, полученный после расшифровки штрих-кода посадочного талона с помощью бесплатных утилит (скриншот отредактирован)
Получив доступ к аккаунту, можно получить различную критически важную персональную информацию о человеке (номера телефонов или данные по сопровождающим пассажирам), а также изменить или отменить предстоящие рейсы, использовать накопленные бонусы часто летающего пассажира (в России подобные случаи уже были). Также хакер может изменить настройки доступа, подобрав ответ на контрольный вопрос безопасности.
Данная уязвимость, по словам Кребса, «создала черный рынок для взломанных аккаунтов часто летающих пассажиров». Если, в конечном итоге, если Вы не хотите оказаться следующей жертвой, лучшее, что Вы можете сделать, — это уничтожить свои посадочные талоны прежде, чем Вы выбросите их в мусорное ведро.
Комментарии (11)
DarkByte
03.11.2015 12:36Так и как же получить доступ к аккаунту пассажира по его посадочному талону? Ни теоретического вектора, ни примера применения на практике, тема как то ну совсем не раскрыта.
PandaSecurityRus
05.11.2015 08:30Примеры применения на практике раскрыты на форумах часто летающих пасссажиров, в т.ч. российских авиакомпаний.
Например, накопил пассажир бонусов на своей карте 200к и запланировал на них приобрести отпускные авиабилеты для себя и семьи. А у него списывают всю сумму с карты за месяц до этого. Когда обращается в авиакомпанию, оказывается, что его бонусами были оплачены и уже использованы авиабилеты какого-то гражданина (по правилам некоторых программ свои бонусы можно передавать). Имя гражданина в авиакомпании не сообщают (персональные данные) и расследование часто летающего пассажира заходит в тупик.DarkByte
05.11.2015 09:12Нет, меня совершенно не интересует то, как злоумышленник тратит украденные деньги или баллы, это его сугубо личное дело. Вы написали статью о том, что посадочный талон содержит такую информацию, по которой можно угнать аккаунт пользователя, но не показали вектора атаки. Социальная инженерия на основе знания ФИО пассажира и номера бронирования? Зная эти данные в большинстве случаев можно посмотреть бронирование на сайте или распечатать себе посадочный талон в терминале самообслуживания в аэропорту, правда я не припомню, чтобы на посадочном талоне был номер бронирования, там ведь номер рейса. Вы упомянули какой то «номер часто летающего пассажира» и что мол его знание даст злоумышленнику возможность взломать аккаунт, но как? Подробности, интересны подробности по самой атаке, а не по тому, как и чем распознать бар-код, статья ведь не о них.
0DrYu0
03.11.2015 13:00Ужасы какие вы рассказываете!
Если мне не изменяет память — посадочный талон состоит из двух частей.
Левая часть (большая, со штрих-кодом) остается у сотрудников авиакомпании в тот момент, когда вы идете на посадку в самолет. Правая, содержащая ваши имя и фамилию, но НЕ СОДЕРЖАЩАЯ остальных данных — остается у вас на руках.
Таким образом вопрос — как злоумышленник получит эти штрих-коды, если только действительно не фотографировать посадочный талон?
Тема же получения доступа к аккаунту совершенно не раскрыта, и шанс взлома представлен примерно на уровне «Если у вас спросили сколько времени, вас могут изнасиловать».
lubezniy
05.11.2015 06:19Посадочный талон состоит из двух частей. Но, какая часть у кого останется, решается в аэропорту сотрудниками оного. Бывало, и не раз, что узкую часть они забирали, а широкую оставляли пассажирам.
encyclopedist
05.11.2015 19:32Только некоторые авиакомпании отбирают посадочные талоны. У меня их десятки лежат.
Gorodnya
Уверен, что найдутся компании, доступ к аккаунту в которых можно будет восстановить, отправив скан или просто определённые данные с такого талона в техподдержку.