不炫不死,晒登机牌招来的祸

luochicun 新闻 2017年8月27日发布
Favorite收藏

导语:最近有人因为在Facebook上晒了自己的登机牌,从而导致社交帐户被盗。

0c25d096de7b4c13b8735a44479d933d_th.jpeg

在这个互相晒的年代,吃个饭、睡个觉……无所不晒,似乎不晒一晒就少了点啥。晒本身没有错,不过千万不要泄露自己隐私,因为,实施欺诈的所有必要信息均打印在你的机票上,以免遭受安全威胁。但有些人则对这一警告视而不见。为此,我们常常能在例如搜索引擎的图片搜索里看到不少人晒出的机票照片。只需搜索“登机牌”两字就能找出一大堆这样的晒图。

这不,最近有人因为在Facebook上晒了自己的登机牌,从而导致社交帐户被盗。

1.jpg

从以上登机牌,你能得到什么信息?

首先,登记人的订位代号是YJVFKG以及明显的机票条形码。

其次,登记人的登记出发地和目的地,登机时间,航空公司都能一览无余。

现在,我可以告诉你,这是我的好友Petr Mára 2016去香港旅行的登机牌。如果有心怀不轨的人企图找出更多的关于Petr Mára的信息,那可以登录到英国航空公司的网站,输入正确的订位代号即可。提交后,你就可以了解到Petr Mára所有的飞行数据以及个人信息。

2.png

3.png

如果想要修改Petr Mára的个人信息是否可以呢?答案是可以的。不过航空公司会先验证你的个人信息,比如出生日期,护照号码等,那这个障碍怎么克服呢?很简单,只要认真看一看Petr的Facebook个人资料页,就能了解到他的生日等各种隐私信息。

4.png

等得到这些信息后,攻击者就可以登录到Petr的航空账户来修改其个人登记信息。比如护照号改变为国际通缉犯的护照号,让Petr寸步难行,或取消Petr的机票预定信息甚至随意更改座位。

如果愿意你将会在Facebook和Instagram上找到很多登机牌照片,一些旅行者试图耍个聪明,在上传时,模糊他们的名字和其他细节,但却忘了覆盖条形码。例如下面晒图的这位用户叫Anna.。

5.jpg

Anna的全名是AnnaFerenčáková,她于2017年4月从布拉格到塞尔维亚贝尔格莱德旅行。通过扫描条形码后,登机牌上的信息也能被完全显示出来。

扫描条形码

6.jpg

随着越来越多的人使用智能设备,登机牌的条形码也可以显示在手表中。以下是在某人的iWatch上显示的登机牌的Aztec Code 条形码。该代码包含的信息与纸质的一模一样。但是使用条形码的好处却比纸质的要方便很多,因为这免除了排队打印的过程,只需要从门禁应用程序中扫描代码即可。

7.jpg

这只手表属于Stephen Fenech,也是我的一个好友,从旧金山到纽约。处于好奇,我扫描了他的Aztec代码。关于如何使用智能手表来发现登机牌的漏洞,请点击这里。通过扫描我发现了Fenech的美国航空公司的飞行常客号码是4708760。

8.jpg

攻击帐户

当在Facebook上搜索该机牌时,它的持有人也就是Stephen的头像竟是阿兹特克人,而且他在某些圈子中还是知名人士,在Twitter上有约12万名追随者,并在欧洲和美国创立了一些组织。上图中的订位代号同时也是用户在美国航空公司的官方登录访问码。一般情况下,如果他们在正式信件上打印飞行常客号码时,只打印最后3位数字。当然,扫描Aztec Code 条形码可以得到一个完整的号码,所以我正在考虑使用它来尝试劫持Stephen的Facebook帐号。

首先我登录到美国航空公司的网站,选择了忘记密码,并从扫描的Aztec代码中输入了已经显示的登录用户名和相应的号码。接下来的两个安全性提问都可以在Stephen的Facebook资料页上找到,比如出生地,最喜欢的天气。这样账号就会确认是Stephen在登录,一旦我进入就会重新设置密码。也许是美国航空公司也发现了该漏洞,目前要设置新密码时,他们会向用户的注册电子邮件发送一个修改链接,只有通过它才能修改。

9.png

由于这是我朋友的账号,所以我只是进行了一个实验性的攻击,并没有设置新的密码。事后,我向他展示了该测试过程,他也从Facebook删除了炫耀Aztec代码的图片。

有什么安全“晒”门票的方法吗?

首先,我不建议大家在社交网络晒太具有个人隐私的图片,真有那么严重的危害吗?

你还记得一名叫Chantelle的澳大利亚女士在墨尔本杯赛马比赛上赢得825美元奖金,她就因为”晒出”自己的奖券而损失了所有奖金。

其实你发一句文字就可以了,比如“今天我去哪旅游了”。如果你就喜欢晒,那有什么办法能让你更安全一些吗?通过本文的讲解,我的意思是除了模糊个人信息外,也把条形码遮住。

如果是很明显的数据信息图片,用户应该不会随便往网上传,但用户经常发布他们有意思的图片,比如二维码,但懂行的人都知道,二维码其实就是一种肉眼看不见的数据而已。

目前有两种条形码,1D条形码用于编码少量信息,而2D条形码则用于存储大量数据。1D条形码基于二进制代码编写而成。说起来有那么点复杂:每个十进制数字由7条竖线组成,有白色也有黑色。有时候黑线之间并不用白线分隔,因此显得黑线特别粗。条形码的最后部分通常表示检验数位,用来确认读数精度。无论是电影票、演唱会门票还是机票都印有多个检验数位,以确认条形码中提供的数据。

除了晒登机牌之外,旅行时的行李签也不要晒,它的信息含金量和登机牌一样多。每个经过GDS分发的机票都会有一个PNR码,这个编码被打印在机票和行李签上,所以只要有人看到或者拍到了你的机票或行李签,理论上他就可以获得你订票时预留的信息,包括家庭住址、邮箱、电话、信用卡号、常旅客号码,以及你订票时的IP地址。比如下图,PNR码后面关联的旅客信息,包括邮箱、电话、信用卡号等各种信息。

17010216511184273.jpg

更糟糕的是,由于现在的航空公司和GDS都没有限制密码验证的次数,所以黑客可以通过非常粗暴的方式破解你的密码。这样一来,黑客可以变更你的订票信息,你的行程可能会被取消,或者收到一个你没有预定的行程。更常见也更可怕的是可能会有接踵而来的网络诈骗——因为骗子已经知道了你所有的信息。

本文翻译自:https://www.michalspacek.com/post-a-boarding-pass-on-facebook-get-your-account-stolen,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/7388.html
点赞 6
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论