Він не тільки повідомляє ваше ім'я і пункт призначення, але і відкриває доступ до абсолютно конфіденційної інформації, а також дає можливість змінити або скасувати вашу бронь.
Наскільки просто отримати доступ до чужих даними?
Мені кожен день трапляються пости з фотографіями посадкових талонів. Мабуть, людям хочеться похвалитися своєю подорожжю. Особливо це стосується тих, хто літає першим або бізнес-класом.
Більшість посадкових талонів містять ряд ключових відомостей: ваше ім'я, номер квитка або код бронювання та штрих-код.
30 серпня один чоловік вивісив фото свого посадкового талона, і я вирішив провести невелике розслідування. Мені було цікаво, скільки всього можна дізнатися про людину по одній фотці (на ілюстраціях я замазав всю особисту інформацію).
Фото було вивішено пасажиром австралійської авіакомпанії «Virgin Australia», у якого була бронь на рейс «Delta Airlines» (по-шерінгом код).
«Дельта» публікує разюче багато інформації, включаючи номер електронного квитка, код бронювання, номер постійного клієнта і навіть кількість зданого багажу! Я вирішив перевірити систему на вразливість і відправився на їх сайт.
Щоб увійти в розділ «Управляти бронью», досить знати ім'я пасажира і номер електронного квитка (або код бронювання).
Оскільки все це було зазначено в посадковому талоні, я без труда увійшов в цей розділ і прочитав всі дані про пасажира.
На підставі цих даних я зміг дізнатися весь маршрут пасажира, а також дати і відправні пункти всіх його перельотів.
Крім того, я дізнався, які у нього були місця, номери квитків і бонуси за програмою для постійних пасажирів.
Але це ще не все!
З тією ж легкістю мені відкрилися всі деталі оплати, в тому числі дата покупки квитка і останні чотири цифри кредитної картки, з якої проводилася оплата.
За допомогою цих відомостей зловмисники можуть скасувати або змінити ваш переліт, поміняти вам місця і створити масу інших проблем.
УВАГА: ШТРИХ-КОД МІСТИТЬ ЩЕ БІЛЬШЕ ВІДОМОСТЕЙ.
Штрих-код виявився ще більш пізнавальним.
Розглянемо для прикладу ще одне фото з соціальних мереж, на якому пасажирка спробувала приховати важливі дані.
При цьому вона виставила на загальний огляд штрих-код (тут я його замазав) - цю помилку іноді допускають навіть досвідчені мандрівники.
Штрих-код містить всю інформацію з посадкового талона, що зберігається в спеціальному форматі.
Думаєте, він читається тільки аеропортівськими комп'ютерами? Нічого подібного.
Прочитати цей формат може будь-який - в інтернеті є десятки сайтів, що зчитують штрих-коди з завантажуваних зображень.
В даному випадку у мене вийшло дізнатися всі відомості про пасажирці, хоч я і не бачив більшої частини посадкового салону.
Розшифровка штрих-коду містила повне ім'я, номер рейсу, маршрут, код бронювання, номер квитка, код постійного пасажира і ін.
Отримати доступ до цих відомостей набагато легше, ніж ви думаєте, тому публікувати незаретушіроване фото посадових салонів вкрай ризиковано.
Мало того, що це полегшує злочинцям розкрадання особистих даних, так ви ще й ризикуєте понести серйозні матеріальні збитки, якщо зловмисник почне розпоряджатися вашим аккаунтом постійного клієнта.
Тепер ви розумієте, чому не треба вивішувати фотографій з посадочними талонами?
Хочете покрасуватися перед друзями в фейсбуці - вивісьте Селфі з келихом шампанського в салоні першого класу. Це набагато шикарніше і безпечніше!
Поділіться цією статтею з друзями, адже це дійсно актуально!