Акт 1: полдень воскресенья
Я занимался домашними делами, ни о чём плохом не думал, пил водичку и ни в коем случае не имел никаких намерений заниматься подрывной деятельностью против Австралийского Союза.
А потом я получил сообщение в «групповом чате»1.
Обладателем талона был Тони Абботт, один из множества бывших премьер-министров Австралии.
По соображениям безопасности, мы стараемся менять премьер-министра каждые полгода и никогда не использовать одного и того же премьер-министра на разных веб-сайтах.
▍ Фотография посадочного талона
Конкретно этот бывший премьер-министр опубликовал в Instagram* фото своего посадочного талона (если вы не знали, Instagram* — это приложение, которое можно запустить на телефоне, если хотите посмотреть рекламу).
▍ «Можешь взломать его?»
Мой друг (которого я буду называть по его имени в групповом чате, hogge moade) спросил, смогу ли я «взломать его», не потому, что я человек, регулярно совершающий государственные киберизмены, а потому, что недавно мы говорили с ним о посадочных талонах.
Я говорил, что люди постоянно постят фотографии посадочных талонов, не зная, что их иногда можно использовать для получения номера паспорта и другой информации. Они просто пишут «ура, лечу в отпуууск!», не понимая, что постят кринж.
Тем временем какой-нибудь хакер потирает руки, приговаривая в своём Discord дарк-веба «м-м-м, вкуснотища, кража личности», потому что такое происходит очень часто.
Я сидел, напряжённо смотря на сообщение с вопросом, смогу ли я «взломать его».
▍ Разумеется, делать этого я не буду
Конечно, мой друг не на самом деле просил меня взломать бывшего премьер-министра.
Впрочем…
Мне это нужно.
В смысле, мне что, не заниматься этим? Разве вам не было бы любопытно?
Бывший премьер-министр засветил свой посадочный талон. Плохо ли это? Подвергает ли кого-то опасности? Я не знаю.
Но одно я знал точно: меньшее, что я могу сделать2 для моей страны — это просто немного поискать информацию в браузере.
Изучение фотографии посадочного талона
▍ Шаг 1: гордыня
Я немного полазил в браузере, получил фотографию посадочного талона, а потом… не знаю, что уж должно было случиться после.
Да, я слышал, что плохо светить своим посадочным талоном онлайн, ведь какой-нибудь скучающий 17-летний хакер с ником «Katie-senpai» может каким-то образом с его помощью похитить вашу личность. Но я не знал никого с таким опытом, поэтому просто неуклюже пытался что-нибудь нагуглить.
▍ Гуглим «как взломать посадочный талон»
В конце концов, я нашёл пост, в котором говорилось, что фотографии посадочных талонов действительно можно использовать для совершения преступлений. Для ваших преступных дел вам понадобится штрих-код, потому что в нём содержится код бронирования (Booking Reference) (например,
H8JA2A).А зачем потребуется код бронирования? Это одна из двух частей данных, которые нужны для логина на сайте авиакомпании для управления данными рейса.
Вторая часть — это… фамилия. Я действительно надеялся, что второй будет что-то типа пароля. Но нет, это код бронирования, который авиакомпания отправляет вам по почте и печатает на посадочном талоне. Неужели только этого достаточно, чтобы войти в аккаунт на веб-сайте авиакомпании?
▍ Шаг 2: сканируем штрих-код
Я практиковался каждое утро на рассвете, но всё равно не могу распознавать штрих-коды визуально. Пришлось запустить сканер штрих-кодов на телефоне, но когда я попытался отсканировать фото из поста в Instagram*, ничего не вышло:
▍ Шаг 2: сканируем штрих-код, но усерднее
Ну, возможно, он не сканировался, потому что фотография была слишком размытой.
Я потратил примерно пятнадцать минут на монтаж: обрабатывал изображение, увеличивал контрастность и так далее. Несмотря на все усилия, мне так и не удалось отсканировать штрих-код.
▍ Шаг 2: замечаем, что код бронирования напечатан прямо на бумаге
Пристально изучая это изображение в течение пятнадцати минут, я заметил, что код бронирования просто… напечатан на багажной квитанции.
А я ведь окончил университет.
Но к этому он меня не готовил.
▍ Шаг 3: заходим на веб-сайт авиакомпании
Отойдя от такого морального потрясения, я перешёл на сайт qantas.com.au и нажал на «Manage Booking». На случай, если вы не знаете, потому что живёте в стране с быстрым Интернетом, Qantas — это самая крупная авиакомпания в Австралии.
▍ Шаг 4: вводим код бронирования
Открылась форма логина, в которую нужно было ввести код бронирования и фамилию. Я уже переписал код с фотографии посадочного талона и, разумеется, знал фамилию3.
Я ни секунды не колебался, но… Нет, я обязан был узнать.
▍ Шаг 5: преступления (?)
▍ Дела
Похоже, я залогинился как Тони Абботт. И кто знает, возможно, вместе со мной здесь есть кто-то ещё, увидевший его пост в Instagram*. Приятно знать, что все мы здесь вместе. Но с точки зрения государства, возможно, это не совсем оптимально.
▍ Было ли там что-то секретное?
Затем я просто невероятно тщательно просматривал страницу.
Я увидел имя Тони Абботта (оказалось, на самом деле он Энтони Абботт), время взлёта и посадки, а также номер в программе для постоянных пассажиров, но ничего особо секретного. С номером постоянного пассажира не совершишь никакой госизмены. Рейс уже произошёл, так что я и не мог ничего изменить.
На странице говорилось, что билет был забронирован турагентом, поэтому я предположил, что часть информации отсутствовала именно из-за этого.
Я пощёлкал тут и там, проскроллил страницу, но не нашёл никаких правительственных секретов.
Вероятно, некоторые бы уже сдались. Но я, компьютерный Икар, был просто слишком туп, чтобы остановиться.
▍ Мы не закончим только потому, что так сказала веб-страница
Мне захотелось узнать, что ещё таится любопытного внутри страницы. Для этого достаточно было единственного известного мне хакерского инструмента.
▍ Как работает «Просмотреть код»?
«Просмотреть код», как и следует из названия — это функция Google Chrome, позволяющая просмотреть внутреннее компьютерное описание (HTML) веб-страницы. Как будто вы вскрываете часы и наблюдаете за вечеринкой, устроенной шестерёнками.
Всё, что вы видите при нажатии на «Просмотреть код», уже скачано на ваш компьютер, вы просто ещё не попросили Chrome показывать это. Дешёвые трюки наподобие «Просмотреть код» используют программисты, чтобы разобраться, как работает веб-сайт. Но, в конечном итоге, эти усилия ничтожны: никто не сможет понять, как работают веб-сайты. К сожалению, когда вы видите это впервые, это кажется похожим на хакинг.
▍ Изучаем HTML страницы «Manage Booking»
Я проскроллил HTML страницы, совершенно не понимая, что это всё значит, и яростно пытаясь найти нечто, похожее на странное место или секрет.
В конце концов, я осознал, что, читая HTML построчно, я не защищу свою страну эффективным образом, поэтому нажал Ctrl + F и ввёл в поиске «passport».
▍ О, нет
▍ О, да
Он просто там указан.
В этот момент я уже был практически уверен, что нашёл чрезвычайно секретный государственный документ, выпущенный для 28-го премьер-министра Австралийского Союза, подданного Её Величества Королевы Елизаветы II [прим. пер.: оригинал статьи написан в 2020 году], поэтому немного забеспокоился, что делаю что-то незаконное. Но недостаточно незаконное, чтобы меня это остановило.
▍ А есть на этой странице… что-нибудь ещё?
Так, ну если уж в этой сокровищнице компьютерного спагетти есть номер паспорта Тони Абботта, то, вероятно, есть и гораздо больше. Возможно, в этом HTML содержатся утерянные коды запуска в космос Сиднейского оперного театра или разгадка тайны Гарольда Холта4?
Может, там и номер телефона есть?
Я поискал
phone и number, но ничего не нашёл, поэтому я напряг свой могучий разум галактического уровня и поискал 614 — первые три цифры австралийских телефонных номеров.▍ Странные заглавные буквы
Нашлась странная куча чего-то, что я могу описать только как чрезвычайно заглавные буквы. Она выглядела вот так:
RQST QF HK1 HNDSYD/03EN|FQTV QF HK1|CTCM QF HK1 614[phone number]|CKIN QF HN1 DO NOT SEAT ROW [row number] PLS SEAT LAST ROW OF [row letter] WINDOWТак, тут довольно много информации. Телефонный номер действительно нашёлся. Но что же такое всё остальное?
Я понял, что это… общение сотрудников Qantas друг с другом о Тони Абботте, но не с ним.
В этой переписке века есть раздел
HITOMI CALLED RQSTING FASTTRACK FOR MR. ABBOTT. Похоже, Хитоми запрашивает у другого сотрудника Qantas «fasttrack» (я вообще думал, что такое бывает только в кино) [прим. пер.: Fast track — это процедура ускоренной регистрации, без очередей и в приоритетном порядке].▍ Почему это полный бардак
Что тут вообще происходит? Почему сотрудники Qantas общаются друг с другом через это поле информации о пассажире? Почему они отправляют эти сообщения и номер паспорта пользователя ему после выполнения логина на веб-сайте? Но я так и не узнал этого, поэтому что моё внимание внезапно привлёк…
▍ Запретный код авиакомпании
Я осознал, что вся эта мешанина из заглавных букв должна быть каким-то кодом авиакомпании. Яростное и напряжённое гугление привело меня ко множеству древних запретных PDF, в которых объяснялись некоторые из кодов.
Похоже, они называются «кодами SSR» (Special Service Request, «запрос об особом обслуживании»). Например, есть коды «блюда для оволактовегетарианцев» (
VLML), «вегетарианского восточного блюда» (VOML), и даже «вегетарианского веганского блюда» (VGML). Мне стали любопытны эти коды, поэтому приведу несколько примеров на случай, если вам тоже интересно (отмечайте себя, я UMNR):RFTV Причина путешествия
UMNR Несовершеннолетний без сопровождения
PDCO Компенсация выбросов углерода (взимается оплата)
WEAP Оружие
DEPA Депортированное лицо, сопровождается эскортом
ESAN Пассажир с животным для эмоциональной поддержки в салонеНайденный мной телефонный номер выглядел так:
CTCM QF HK1 [телефонный номер]. Загуглив «SSR CTCM», я вышел на руководство разработчика какой-то ассоциации авиакомпаний; похоже, теперь я, по сути, стал её членом.
CTCM QF HK1 расшифровывается как «контактный номер телефона пассажира 1»▍ Действительно ли это его номер?
Я подумал, что, возможно, телефонный номер принадлежал туристической компании, но проверил и, судя по требованиям, это должен быть реальный телефонный номер пассажира. То есть, если мои расчёты верны… *складывает пальцы домиком*… это телефонный номер Тони Абботта.
Что я натворил
Теперь у меня есть:
- Номер паспорта Тони Абботта.
- Его телефонный номер.
- Странные комментарии персонала Qantas.
Паспорт Тони Абботта — это, вероятно, дипломатический паспорт, используемый «официальными представителями правительства Австралии за рубежом».
На этом моменте с защитой страны было покончено, и у меня возникло ещё несколько мыслей:
- что же я натворил,
- наверно, нужно найти кого-нибудь, чтобы номер паспорта Тони Абботта сделали недействительным,
- а можно вообще сделать номер паспорта недействительным?
- может ли оказаться, что я совершил преступление?
[Прим. пер.: разбираться с последним вопросом автор начал во второй части статьи.]
* Instagram принадлежит компании Meta, признанной экстремистской организацией и запрещённой в РФ.
1. Это один из тех групповых чатов, где имя постоянно меняется и ты понятия не имеешь, с кем говоришь.↩
2.Честно говоря, я не хотел заниматься просто какой-то банальной кражей личности, мне было интересно, не опубликовал ли он чего-то секретного, потому что если это так, кто-то должен был что-то с этим сделать.↩
3. Фамилия напечатана и на багажной квитанции. Поэтому, даже если бы я не знал, кто опубликовал эту фотографию, всё необходимое для проверки бронирования было удобно изложено в квитанции.↩
4. Гарольд Холт — это ещё один бывший премьер-министр, которого мы… Просто потеряли. Однажды утром он ушёл поплавать и не вернулся. Это не шутка. Мы назвали в его честь плавательный бассейн. Повторюсь, это не шутка.↩
Telegram-канал со скидками, розыгрышами призов и новостями IT ?
Комментарии (24)
DanilinS
25.09.2024 13:28+3По соображениям безопасности, мы стараемся менять премьер-министра каждые полгода и никогда не использовать одного и того же премьер-министра на разных веб-сайтах.
Они правда меняют премьер-министра каждые 6 месяцев?
event1
25.09.2024 13:28+5DEPA Депортированное лицо, сопровождается эскортомА можно меня тоже депортировать из Австралии?
tbp2k5
25.09.2024 13:28+1Может кто то из читающих имеет мотивированный ответ: Является ли номер паспорта чем то значимо секретным / чувствительным? Например зная его можно кредит получить, визу аннулировать, и т.п.
gudvinr
25.09.2024 13:28Для фишинга может быть полезно. Ну, не вам, конечно, а тем, кто целенаправленно фишингом в вашем направлении занимается
Это касается любых данных, которые нельзя получить, если вы сами о них не скажете. Когда сотрудник СБ банка говорит вам ваш номер паспорта, это звучит более весомо чем "Какой-то Кто-то Кто-тович"
Raegdan
25.09.2024 13:28+1Даже если сотрудник СБ банка назовет мне номер паспорта, я все равно отвечу - "Вы ошиблись, это приёмная ФСИН по республике Мордовия". И перезвоню в банк сам.
gudvinr
25.09.2024 13:28+2В интернете все умные. Но социальная инженерия тем эффективнее, чем больше данных есть.
Допустим конкретно ты, человек за ником Raegdan, ответишь, а твои родители - могут и не ответить.Не важно, что каждый конкретный человек предпримет, важно что эффективность фишинга растёт. Фишинг и не нацелен на таких умных молодцов, которые придумывают, как они круто скамеров обманывают.
Raegdan
25.09.2024 13:28Да понятное дело, что скам в первую очередь на пожилых и технически неподкованных рассчитан. Впрочем проблема это интернациональная. Нам звонят зеки из сбера, а американцам - индусы из майкрософта и амазона. На ютубе есть много видео, как их жестко пранкуют, в том числе ставят на вид за "scamming poor old ladies".
isden
25.09.2024 13:28У меня СБ банка (настоящая) спрашивала номер паспорта для подтверждения "подозрительной" транзакции. Плюс еще спрашивали в опсосе при запросе потерянного PUK кода. По-моему еще где в районе налоговой или ПФ было тоже, но уже не помню. Все по телефону или на сайте.
Так что лучше его лишний раз не светить.
karavan_750
25.09.2024 13:28Является ли номер паспорта чем то значимо секретным / чувствительным?
Да, он является чувствительным, как некий маркер соответствия информации, которую он сопровождает, той личности, которой принадлежит. Помимо этого, не знаю как в Австралии, а в РФ в номере паспорта содержится регион и примерный год его получения.
OSINT
koreychenko
Т.е. чувак нашел Booking Ref и фамилию пассажира и вошел в кабинет бронирования на сайте авиакомпании. Вау. Это прям взлом века.
Если бы в статье не было бы фоток и глупых шуток (хотя, про премьер-министра мне понравилось) она бы свелась к тому, что "кто-то выложил логин и пароль в инстаграме а я его использовал".
d_ilyich
Это не взлом века. Это факап Qantas, которые пихали персональные данные (и прочее не предназначенное для всеобщего обозрения) туда, где этого быть не должно. Вместо Quantas подставьте сервис отслеживания трэк-номера на сайте почты России. Это же не личный кабинет с нормальной авторизацией.
koreychenko
Факап там про непонятные общения сотрудников и дополнительные внутренние данные, которые не относятся к данным, получаемым от пользователя.
То, что там есть паспорт и телефон это теоретически ОК, потому что пользователь вводит эти данные и может их скорректировать при необходимости.
ildarz
Куда он их вводит, в HTML-код страницы? Клиент на этой конкретной странице никакие перс. данные не запрашивал и не получал, так что они в коде делают?
artptr86
Вероятно потому что разработчики решили не заморачиваться и сериализовать целиком все внутренние объекты, касающиеся перелёта.
koreychenko
Если вы посмотрите на меню страницы, то увидите там два пункта Flight Details и Checkin.
Тут основной момент, почему в случае если билет забронирован турагентом они эти данные показывают. Но если бы это был пользователь, который самостоятельно покупал билет, то эти данные можно было бы даже изменить (в случае, если рейс еще не состоялся)
d_ilyich
Насколько я понимаю и помню, check in -- это регистрация на рейс. Т.е. билет уже куплен, и ты можешь сам себя разместить где хочется, если успеешь.
Да, на скриншоте написано, что можно поменять данные. Я сам влип однажды с номером паспорта. Но мне даже на вокзале не смогли помочь. А тут позволить кому угодно это сделать? Плохая идея. Если б какой-нибудь шутник подглядел данные и изменил их перед посадкой? Или во время полёта, а в точке прибытия -- проверка. Я не против возможности изменить некоторые детали, но только после авторизации со своими учётными данными.
Почему вся эта информация осталась общедоступна без авторизации после полёта? Я понимаю, что для определённых целей и ведомств она может быть полезной какое-то время, но кому угодно зачем её отдавать? Клиент уже совершил полёт, менять ему там что-то уже бессмысленно.
IvanBodhidharma
Да, вы можете это сделать. Данные паспорта редактируются, не редактируется имя с фамилией.
Имея код бронирования и вашу фамилию, шутник може просто отменить билет. Особенно весело вам будет, если билет невозвратный и деньги вы потеряете. Поэтому крайне не рекомендуется нигде публиковать детали вашего бронирования.
Чтобы купить билет, вы не обязаны регистрироваться или авторизовываться.
d_ilyich
Это плохо.
Так я могу и не публиковать, просто кто-то за спиной подсмотрит/сфоткает.
Разумеется. Не хочешь регистрироваться -- смирись с отсутствием дополнительной функциональности.
gudvinr
На тот момент чуваку, насколько можно судить, было 17 лет. С точки зрения подростка это интересное приключение. В таком ключе это действительно читать интересно.
Но ещё открывает глаза на то, как порой бывает сложно сообщить об уязвимостях, и насколько бывают неприветливы компании. А, как известно, чем выше порог входа, тем выше соблазн просто пойти в норку рядом с этой информацией и не лазить через эти пороги.
geher
В статье содержится важная информация: выкладывая "всего лишь" фото посадочного талона вы выкладываете намного больше информации о себе, чем, возможно, хотели.
vvbob
Это позор века для тех, кто разрабатывал эту систему бронирования. Возможность получения персональных данных по открытым данным из посадочного билета - это они отлично придумали!