Акт 1: полдень воскресенья


Я занимался домашними делами, ни о чём плохом не думал, пил водичку и ни в коем случае не имел никаких намерений заниматься подрывной деятельностью против Австралийского Союза.

А потом я получил сообщение в «групповом чате»1.

Милое сообщение от моего друга с фотографией посадочного талона. В сообщениях от друзей хорошо то, что они не несут за собой никаких катастрофических последствий

Обладателем талона был Тони Абботт, один из множества бывших премьер-министров Австралии.


По соображениям безопасности, мы стараемся менять премьер-министра каждые полгода и никогда не использовать одного и того же премьер-министра на разных веб-сайтах.

▍ Фотография посадочного талона


Конкретно этот бывший премьер-министр опубликовал в Instagram* фото своего посадочного талона (если вы не знали, Instagram* — это приложение, которое можно запустить на телефоне, если хотите посмотреть рекламу).

В удалённом уже посте присутствовали посадочный талон и багажная квитанция

▍ «Можешь взломать его?»


Мой друг (которого я буду называть по его имени в групповом чате, hogge moade) спросил, смогу ли я «взломать его», не потому, что я человек, регулярно совершающий государственные киберизмены, а потому, что недавно мы говорили с ним о посадочных талонах.

Я говорил, что люди постоянно постят фотографии посадочных талонов, не зная, что их иногда можно использовать для получения номера паспорта и другой информации. Они просто пишут «ура, лечу в отпуууск!», не понимая, что постят кринж.

Люди публикуют свои посадочные талоны, потому что никто не говорит, что их нужно держать в тайне

Тем временем какой-нибудь хакер потирает руки, приговаривая в своём Discord дарк-веба «м-м-м, вкуснотища, кража личности», потому что такое происходит очень часто.


Я сидел, напряжённо смотря на сообщение с вопросом, смогу ли я «взломать его».

▍ Разумеется, делать этого я не буду


Конечно, мой друг не на самом деле просил меня взломать бывшего премьер-министра.

Впрочем…

Мне это нужно.

В смысле, мне что, не заниматься этим? Разве вам не было бы любопытно?

Бывший премьер-министр засветил свой посадочный талон. Плохо ли это? Подвергает ли кого-то опасности? Я не знаю.

Но одно я знал точно: меньшее, что я могу сделать2 для моей страны — это просто немного поискать информацию в браузере.

Изучение фотографии посадочного талона


▍ Шаг 1: гордыня


Я немного полазил в браузере, получил фотографию посадочного талона, а потом… не знаю, что уж должно было случиться после.

Да, я слышал, что плохо светить своим посадочным талоном онлайн, ведь какой-нибудь скучающий 17-летний хакер с ником «Katie-senpai» может каким-то образом с его помощью похитить вашу личность. Но я не знал никого с таким опытом, поэтому просто неуклюже пытался что-нибудь нагуглить.

▍ Гуглим «как взломать посадочный талон»


В конце концов, я нашёл пост, в котором говорилось, что фотографии посадочных талонов действительно можно использовать для совершения преступлений. Для ваших преступных дел вам понадобится штрих-код, потому что в нём содержится код бронирования (Booking Reference) (например, H8JA2A).

А зачем потребуется код бронирования? Это одна из двух частей данных, которые нужны для логина на сайте авиакомпании для управления данными рейса.

Вторая часть — это… фамилия. Я действительно надеялся, что второй будет что-то типа пароля. Но нет, это код бронирования, который авиакомпания отправляет вам по почте и печатает на посадочном талоне. Неужели только этого достаточно, чтобы войти в аккаунт на веб-сайте авиакомпании?

▍ Шаг 2: сканируем штрих-код


Я практиковался каждое утро на рассвете, но всё равно не могу распознавать штрих-коды визуально. Пришлось запустить сканер штрих-кодов на телефоне, но когда я попытался отсканировать фото из поста в Instagram*, ничего не вышло:

Подозреваю, что сначала нужно избавиться от размытия

▍ Шаг 2: сканируем штрих-код, но усерднее


Ну, возможно, он не сканировался, потому что фотография была слишком размытой.

Я потратил примерно пятнадцать минут на монтаж: обрабатывал изображение, увеличивал контрастность и так далее. Несмотря на все усилия, мне так и не удалось отсканировать штрих-код.

▍ Шаг 2: замечаем, что код бронирования напечатан прямо на бумаге


Пристально изучая это изображение в течение пятнадцати минут, я заметил, что код бронирования просто… напечатан на багажной квитанции.

А я ведь окончил университет.

Но к этому он меня не готовил.


▍ Шаг 3: заходим на веб-сайт авиакомпании



Отойдя от такого морального потрясения, я перешёл на сайт qantas.com.au и нажал на «Manage Booking». На случай, если вы не знаете, потому что живёте в стране с быстрым Интернетом, Qantas — это самая крупная авиакомпания в Австралии.

▍ Шаг 4: вводим код бронирования


Открылась форма логина, в которую нужно было ввести код бронирования и фамилию. Я уже переписал код с фотографии посадочного талона и, разумеется, знал фамилию3.

Я ни секунды не колебался, но… Нет, я обязан был узнать.

▍ Шаг 5: преступления (?)


Страница «Manage Booking», я выполнил вход как некий Энтони Абботт

▍ Дела


Похоже, я залогинился как Тони Абботт. И кто знает, возможно, вместе со мной здесь есть кто-то ещё, увидевший его пост в Instagram*. Приятно знать, что все мы здесь вместе. Но с точки зрения государства, возможно, это не совсем оптимально.

▍ Было ли там что-то секретное?


Затем я просто невероятно тщательно просматривал страницу.

Я увидел имя Тони Абботта (оказалось, на самом деле он Энтони Абботт), время взлёта и посадки, а также номер в программе для постоянных пассажиров, но ничего особо секретного. С номером постоянного пассажира не совершишь никакой госизмены. Рейс уже произошёл, так что я и не мог ничего изменить.

На странице говорилось, что билет был забронирован турагентом, поэтому я предположил, что часть информации отсутствовала именно из-за этого.

Я пощёлкал тут и там, проскроллил страницу, но не нашёл никаких правительственных секретов.

Вероятно, некоторые бы уже сдались. Но я, компьютерный Икар, был просто слишком туп, чтобы остановиться.

▍ Мы не закончим только потому, что так сказала веб-страница


Мне захотелось узнать, что ещё таится любопытного внутри страницы. Для этого достаточно было единственного известного мне хакерского инструмента.

Щелчок правой кнопкой мыши и Inspect Element («Просмотреть код») — вот и всё, что нужно для совершения диверсии против Австралийского Союза

▍ Как работает «Просмотреть код»?


«Просмотреть код», как и следует из названия — это функция Google Chrome, позволяющая просмотреть внутреннее компьютерное описание (HTML) веб-страницы. Как будто вы вскрываете часы и наблюдаете за вечеринкой, устроенной шестерёнками.

Да-а-а, крутитесь, маленькие шестерёночки. А теперь представьте, что то же происходит с JavaScript

Всё, что вы видите при нажатии на «Просмотреть код», уже скачано на ваш компьютер, вы просто ещё не попросили Chrome показывать это. Дешёвые трюки наподобие «Просмотреть код» используют программисты, чтобы разобраться, как работает веб-сайт. Но, в конечном итоге, эти усилия ничтожны: никто не сможет понять, как работают веб-сайты. К сожалению, когда вы видите это впервые, это кажется похожим на хакинг.

▍ Изучаем HTML страницы «Manage Booking»


Я проскроллил HTML страницы, совершенно не понимая, что это всё значит, и яростно пытаясь найти нечто, похожее на странное место или секрет.

В конце концов, я осознал, что, читая HTML построчно, я не защищу свою страну эффективным образом, поэтому нажал Ctrl + F и ввёл в поиске «passport».

▍ О, нет



▍ О, да


Он просто там указан.

В этот момент я уже был практически уверен, что нашёл чрезвычайно секретный государственный документ, выпущенный для 28-го премьер-министра Австралийского Союза, подданного Её Величества Королевы Елизаветы II [прим. пер.: оригинал статьи написан в 2020 году], поэтому немного забеспокоился, что делаю что-то незаконное. Но недостаточно незаконное, чтобы меня это остановило.

▍ А есть на этой странице… что-нибудь ещё?


Так, ну если уж в этой сокровищнице компьютерного спагетти есть номер паспорта Тони Абботта, то, вероятно, есть и гораздо больше. Возможно, в этом HTML содержатся утерянные коды запуска в космос Сиднейского оперного театра или разгадка тайны Гарольда Холта4?

Может, там и номер телефона есть?

Я поискал phone и number, но ничего не нашёл, поэтому я напряг свой могучий разум галактического уровня и поискал 614 — первые три цифры австралийских телефонных номеров.

▍ Странные заглавные буквы


Нашлась странная куча чего-то, что я могу описать только как чрезвычайно заглавные буквы. Она выглядела вот так:

RQST QF HK1 HNDSYD/03EN|FQTV QF HK1|CTCM QF HK1 614[phone number]|CKIN QF HN1 DO NOT SEAT ROW [row number] PLS SEAT LAST ROW OF [row letter] WINDOW

Так, тут довольно много информации. Телефонный номер действительно нашёлся. Но что же такое всё остальное?

Я понял, что это… общение сотрудников Qantas друг с другом о Тони Абботте, но не с ним.

В этой переписке века есть раздел HITOMI CALLED RQSTING FASTTRACK FOR MR. ABBOTT. Похоже, Хитоми запрашивает у другого сотрудника Qantas «fasttrack» (я вообще думал, что такое бывает только в кино) [прим. пер.: Fast track — это процедура ускоренной регистрации, без очередей и в приоритетном порядке].

▍ Почему это полный бардак


Что тут вообще происходит? Почему сотрудники Qantas общаются друг с другом через это поле информации о пассажире? Почему они отправляют эти сообщения и номер паспорта пользователя ему после выполнения логина на веб-сайте? Но я так и не узнал этого, поэтому что моё внимание внезапно привлёк…

▍ Запретный код авиакомпании


Я осознал, что вся эта мешанина из заглавных букв должна быть каким-то кодом авиакомпании. Яростное и напряжённое гугление привело меня ко множеству древних запретных PDF, в которых объяснялись некоторые из кодов.

Похоже, они называются «кодами SSR» (Special Service Request, «запрос об особом обслуживании»). Например, есть коды «блюда для оволактовегетарианцев» (VLML), «вегетарианского восточного блюда» (VOML), и даже «вегетарианского веганского блюда» (VGML). Мне стали любопытны эти коды, поэтому приведу несколько примеров на случай, если вам тоже интересно (отмечайте себя, я UMNR):

RFTV    Причина путешествия
UMNR    Несовершеннолетний без сопровождения
PDCO    Компенсация выбросов углерода (взимается оплата)
WEAP    Оружие
DEPA    Депортированное лицо, сопровождается эскортом
ESAN    Пассажир с животным для эмоциональной поддержки в салоне

Найденный мной телефонный номер выглядел так: CTCM QF HK1 [телефонный номер]. Загуглив «SSR CTCM», я вышел на руководство разработчика какой-то ассоциации авиакомпаний; похоже, теперь я, по сути, стал её членом.

CTCM QF HK1 расшифровывается как «контактный номер телефона пассажира 1»

▍ Действительно ли это его номер?


Я подумал, что, возможно, телефонный номер принадлежал туристической компании, но проверил и, судя по требованиям, это должен быть реальный телефонный номер пассажира. То есть, если мои расчёты верны… *складывает пальцы домиком*… это телефонный номер Тони Абботта.

Что я натворил


Теперь у меня есть:

  • Номер паспорта Тони Абботта.
  • Его телефонный номер.
  • Странные комментарии персонала Qantas.

Паспорт Тони Абботта — это, вероятно, дипломатический паспорт, используемый «официальными представителями правительства Австралии за рубежом».

На этом моменте с защитой страны было покончено, и у меня возникло ещё несколько мыслей:

  • что же я натворил,
  • наверно, нужно найти кого-нибудь, чтобы номер паспорта Тони Абботта сделали недействительным,
  • а можно вообще сделать номер паспорта недействительным?
  • может ли оказаться, что я совершил преступление?

[Прим. пер.: разбираться с последним вопросом автор начал во второй части статьи.]

* Instagram принадлежит компании Meta, признанной экстремистской организацией и запрещённой в РФ.



1. Это один из тех групповых чатов, где имя постоянно меняется и ты понятия не имеешь, с кем говоришь.
2.Честно говоря, я не хотел заниматься просто какой-то банальной кражей личности, мне было интересно, не опубликовал ли он чего-то секретного, потому что если это так, кто-то должен был что-то с этим сделать.
3. Фамилия напечатана и на багажной квитанции. Поэтому, даже если бы я не знал, кто опубликовал эту фотографию, всё необходимое для проверки бронирования было удобно изложено в квитанции.
4. Гарольд Холт — это ещё один бывший премьер-министр, которого мы… Просто потеряли. Однажды утром он ушёл поплавать и не вернулся. Это не шутка. Мы назвали в его честь плавательный бассейн. Повторюсь, это не шутка.

Telegram-канал со скидками, розыгрышами призов и новостями IT ?

Комментарии (27)


  1. koreychenko
    25.09.2024 13:28
    +41

    Т.е. чувак нашел Booking Ref и фамилию пассажира и вошел в кабинет бронирования на сайте авиакомпании. Вау. Это прям взлом века.
    Если бы в статье не было бы фоток и глупых шуток (хотя, про премьер-министра мне понравилось) она бы свелась к тому, что "кто-то выложил логин и пароль в инстаграме а я его использовал".


    1. d_ilyich
      25.09.2024 13:28
      +28

      Это не взлом века. Это факап Qantas, которые пихали персональные данные (и прочее не предназначенное для всеобщего обозрения) туда, где этого быть не должно. Вместо Quantas подставьте сервис отслеживания трэк-номера на сайте почты России. Это же не личный кабинет с нормальной авторизацией.


      1. koreychenko
        25.09.2024 13:28

        Факап там про непонятные общения сотрудников и дополнительные внутренние данные, которые не относятся к данным, получаемым от пользователя.
        То, что там есть паспорт и телефон это теоретически ОК, потому что пользователь вводит эти данные и может их скорректировать при необходимости.


        1. ildarz
          25.09.2024 13:28
          +13

          потому что пользователь вводит эти данные и может их скорректировать при необходимости.

          Куда он их вводит, в HTML-код страницы? Клиент на этой конкретной странице никакие перс. данные не запрашивал и не получал, так что они в коде делают?


          1. artptr86
            25.09.2024 13:28
            +5

            Вероятно потому что разработчики решили не заморачиваться и сериализовать целиком все внутренние объекты, касающиеся перелёта.


          1. koreychenko
            25.09.2024 13:28

            Если вы посмотрите на меню страницы, то увидите там два пункта Flight Details и Checkin.
            Тут основной момент, почему в случае если билет забронирован турагентом они эти данные показывают. Но если бы это был пользователь, который самостоятельно покупал билет, то эти данные можно было бы даже изменить (в случае, если рейс еще не состоялся)


            1. d_ilyich
              25.09.2024 13:28

              1. Насколько я понимаю и помню, check in -- это регистрация на рейс. Т.е. билет уже куплен, и ты можешь сам себя разместить где хочется, если успеешь.

              2. Да, на скриншоте написано, что можно поменять данные. Я сам влип однажды с номером паспорта. Но мне даже на вокзале не смогли помочь. А тут позволить кому угодно это сделать? Плохая идея. Если б какой-нибудь шутник подглядел данные и изменил их перед посадкой? Или во время полёта, а в точке прибытия -- проверка. Я не против возможности изменить некоторые детали, но только после авторизации со своими учётными данными.

              3. Почему вся эта информация осталась общедоступна без авторизации после полёта? Я понимаю, что для определённых целей и ведомств она может быть полезной какое-то время, но кому угодно зачем её отдавать? Клиент уже совершил полёт, менять ему там что-то уже бессмысленно.


              1. IvanBodhidharma
                25.09.2024 13:28

                А тут позволить кому угодно это сделать?

                Да, вы можете это сделать. Данные паспорта редактируются, не редактируется имя с фамилией.

                Если б какой-нибудь шутник подглядел данные и изменил их перед посадкой?

                Имея код бронирования и вашу фамилию, шутник може просто отменить билет. Особенно весело вам будет, если билет невозвратный и деньги вы потеряете. Поэтому крайне не рекомендуется нигде публиковать детали вашего бронирования.

                Я не против возможности изменить некоторые детали, но только после авторизации со своими учётными данными.

                Чтобы купить билет, вы не обязаны регистрироваться или авторизовываться.


                1. d_ilyich
                  25.09.2024 13:28

                  Имея код бронирования и вашу фамилию, шутник може просто отменить билет...

                  Это плохо.

                  Поэтому крайне не рекомендуется нигде публиковать детали вашего бронирования.

                  Так я могу и не публиковать, просто кто-то за спиной подсмотрит/сфоткает.

                  Чтобы купить билет, вы не обязаны регистрироваться или авторизовываться.

                  Разумеется. Не хочешь регистрироваться -- смирись с отсутствием дополнительной функциональности.


    1. gudvinr
      25.09.2024 13:28
      +1

      Т.е. чувак нашел Booking Ref и фамилию пассажира и вошел в кабинет бронирования на сайте авиакомпании. Вау. Это прям взлом века.

      На тот момент чуваку, насколько можно судить, было 17 лет. С точки зрения подростка это интересное приключение. В таком ключе это действительно читать интересно.

      Но ещё открывает глаза на то, как порой бывает сложно сообщить об уязвимостях, и насколько бывают неприветливы компании. А, как известно, чем выше порог входа, тем выше соблазн просто пойти в норку рядом с этой информацией и не лазить через эти пороги.


    1. geher
      25.09.2024 13:28
      +4

      В статье содержится важная информация: выкладывая "всего лишь" фото посадочного талона вы выкладываете намного больше информации о себе, чем, возможно, хотели.


    1. vvbob
      25.09.2024 13:28
      +3

      Это позор века для тех, кто разрабатывал эту систему бронирования. Возможность получения персональных данных по открытым данным из посадочного билета - это они отлично придумали!


  1. DanilinS
    25.09.2024 13:28
    +4

    По соображениям безопасности, мы стараемся менять премьер-министра каждые полгода и никогда не использовать одного и того же премьер-министра на разных веб-сайтах.

    Они правда меняют премьер-министра каждые 6 месяцев?


    1. randomsimplenumber
      25.09.2024 13:28
      +7

      Это какой то антиподский австралийский юмор.


  1. event1
    25.09.2024 13:28
    +6

    DEPA Депортированное лицо, сопровождается эскортом

    А можно меня тоже депортировать из Австралии?


    1. TimsTims
      25.09.2024 13:28
      +6

      Просто привезите кролика.


      1. lazbaphilipp
        25.09.2024 13:28
        +3

        Борщевик


  1. tbp2k5
    25.09.2024 13:28
    +1

    Может кто то из читающих имеет мотивированный ответ: Является ли номер паспорта чем то значимо секретным / чувствительным? Например зная его можно кредит получить, визу аннулировать, и т.п.


    1. gudvinr
      25.09.2024 13:28

      Для фишинга может быть полезно. Ну, не вам, конечно, а тем, кто целенаправленно фишингом в вашем направлении занимается

      Это касается любых данных, которые нельзя получить, если вы сами о них не скажете. Когда сотрудник СБ банка говорит вам ваш номер паспорта, это звучит более весомо чем "Какой-то Кто-то Кто-тович"


      1. Raegdan
        25.09.2024 13:28
        +1

        Даже если сотрудник СБ банка назовет мне номер паспорта, я все равно отвечу - "Вы ошиблись, это приёмная ФСИН по республике Мордовия". И перезвоню в банк сам.


        1. gudvinr
          25.09.2024 13:28
          +4

          В интернете все умные. Но социальная инженерия тем эффективнее, чем больше данных есть.
          Допустим конкретно ты, человек за ником Raegdan, ответишь, а твои родители - могут и не ответить.

          Не важно, что каждый конкретный человек предпримет, важно что эффективность фишинга растёт. Фишинг и не нацелен на таких умных молодцов, которые придумывают, как они круто скамеров обманывают.


          1. Raegdan
            25.09.2024 13:28
            +2

            Да понятное дело, что скам в первую очередь на пожилых и технически неподкованных рассчитан. Впрочем проблема это интернациональная. Нам звонят зеки из сбера, а американцам - индусы из майкрософта и амазона. На ютубе есть много видео, как их жестко пранкуют, в том числе ставят на вид за "scamming poor old ladies".


        1. isden
          25.09.2024 13:28
          +1

          У меня СБ банка (настоящая) спрашивала номер паспорта для подтверждения "подозрительной" транзакции. Плюс еще спрашивали в опсосе при запросе потерянного PUK кода. По-моему еще где в районе налоговой или ПФ было тоже, но уже не помню. Все по телефону или на сайте.

          Так что лучше его лишний раз не светить.


    1. karavan_750
      25.09.2024 13:28

      Является ли номер паспорта чем то значимо секретным / чувствительным?

      Да, он является чувствительным, как некий маркер соответствия информации, которую он сопровождает, той личности, которой принадлежит. Помимо этого, не знаю как в Австралии, а в РФ в номере паспорта содержится регион и примерный год его получения.
      OSINT


  1. Nvart
    25.09.2024 13:28
    +1

    Назвать плавательный бассейн в честь утонувшего премьер-министра - это знатный черный юмор :)


    1. randomsimplenumber
      25.09.2024 13:28
      +1

      Австралия, сэр.

      <s>

      Духу бассейна принесена ментальная жертва, теперь там никто не утонет </s


  1. welcme-to-semicndctr-hell
    25.09.2024 13:28

    Вот это прикол

    По соображениям безопасности, мы стараемся менять премьер-министра каждые полгода и никогда не использовать одного и того же премьер-министра на разных веб-сайтах.