📆 16. 8. 2017 📂 palubní vstupenka, čárový kód, reset hesla

Doba dovolených je prý v plném proudu. Až se budete chtít pochlubit cílovou destinací, tak dávejte pozor, co všechno na ten fejsbůk a Instagram vyfotíte. Palubní vstupenky (a jiné čárové kódy) si raději nechte jen pro sebe (a svojí skartovačku).

Výlet do Hong Kongu

Petr Mára je fajn člověk. Školí a přednáší, natáčí videa a věnuje se nasazování iOS a macOS ve firemním prostředí. A taky docela dost pracovně cestuje. Se svou ženou se v květnu 2016 vydali do Hong Kongu oslavit její narozeniny, ale Petr se bohužel nezmínil, na jak dlouho tam letí. No a mě to samozřejmě strašně moc zajímalo. Všiml jsem si, že na palubních vstupenkách, které před odletem dal na Instagram je vidět rezervační kód YJVFKG a nějaký čárový kód. Obojí jsou informace, které byste neměli zveřejňovat.

Palubní vstupenka British Airways

Detail fotky, kterou Petr Mára zveřejnil

Jen na pět dní? Takovou dálku? Pro zjištění odletu z Hong Kongu stačilo v Petrovo případě jít na web British Airways a rezervační kód zadat do správného políčka. Po zadání jsem se mimo jiné dozvěděl, že Petr má všechny požadované údaje správně vyplněné. No aby taky ne, když už odletěl. A pak jsem si všiml červeného tlačítka View or change details. A tak jsem na něj kliknul.

Přihlašovací formulář British Airways

Přihlašovací stránka letecké společnosti

Údaje Petra Máry jsou vyplněné

Všechny údaje jsou vyplněné

Aerolinky chtěly ověřit, že já jsem Petr. Mohl jsem zadat číslo pasu, to jsem (zatím) neměl, nebo datum narození. Petr má narozeniny uvedené na svém Facebookovém profilu, dá se také najít třeba v obchodním rejstříku nebo živnostenském rejstříku. Vaše datum narození je vcelku veřejná informace, často je součást DIČ živnostníků, není to nic tajného.

Zobrazené detaily Petra Máry

Zadané údaje

Ha, konečně mám to číslo pasu! A hele, můžu ho i změnit. V tu chvíli mě napadlo, že bych mohl Petrovi oslavu narozenin jeho ženy o pár dní prodloužit. Stačilo by zadat číslo pasu nějakého mezinárodně hledaného zločince nebo něco takového.

Žádná data jsem ale nezměnil a Petrovi to všechno napsal. Zároveň jsem se mu omluvil, protože jsem mu na 24 hodin zablokoval přístup, to když jsem zkoušel tipnout datum narození jeho ženy. Později jsem si ho samozřejmě vygůgloval, jak jinak. Petr to všechno vzal skvěle, patří mu za to velký dík. Podle další fotky palubních vstupenek zveřejněné o pět měsíců později se i poučil.

Fotky na Facebooku a Instagramu

Spoustu fotek boarding passů najdete na Facebooku i na Instagramu. Někteří lidé dokonce část údajů rozmažou, ale čárové kódy ponechají v původní podobě. Třeba jako slečna Anna.

Palubní vstupenka

Náhodně vybraný čárový kód z Instagramu

Slečna Anna Ferenčáková, která v dubnu 2017 cestovala do Bělehradu. Po oskenování čárového kódu z fotky se to dozvíte. Čárové kódy také najdete na palubních vstupenkách „zapomenutých“ v letadlech nebo na jiných místech.

Obrazovka aplikace Barcode Scanner

Oskenovaný čárový kód

S příchodem „chytrých“ zařízení se čárové kódy z palubních vstupenek najdou třeba i na fotkách rukou s hodinkami. Níže je palubní vstupenka s aztéckým kódem (Aztec code), který obsahuje stejné nebo podobné údaje jako kódy vytištěné na papíře. Boarding pass tedy nemusíte tisknout, stačí pak jen přijít ke skeneru a vykloubit si ruku při přikládání kódu ke snímači na letišti.

Aztec code na hodinkách na ruce

Aztécký kód na chytrých hodinkách

Ruka (i hodinky) patří Stephenovi Fenechovi, který letěl ze San Francisca do New Yorku. To jsme se dozvěděli po oskenování toho aztéckého kódu a potvrdili si to přečtením článku o nástrahách používání palubních vstupenek v „chytrých“ hodinkách, které se i s rukou do některých snímačů nevejdou. Aztécký kód obsahuje i další důležitou věc: číslo věrnostního programu (frequent-flyer program). Pan Fenech má ve věrnostním programu American Airlines číslo 4708760.

Obrazovka aplikace Barcode Scanner

Oskenovaný aztécký kód

Únos cizího účtu

Na Facebooku jsem našel vyfocený aztécký kód od člověka, který si nepřál být jmenován, ale je v určitých kruzích vcelku známý, na Twitteru má asi 120 tisíc followerů a založil něco v Evropě i v Americe. Kód na fotce obsahoval číslo věrnostního programu United Airlines. Tahle letecká společnost se k takovému číslu chová jako k nějakému super tajnému přístupovému kódu. Když už ho na nějakou oficiální korespondenci vytisknou, tak jen poslední 3 číslice a zbytek je „zahvězdičkován“. V aztéckém kódu byl samozřejmě v celé své kráse a tak mě napadlo toho využít k únosu účtu toho člověka. Protože proč ne, že jo, to přece nemůže být tak lehký.

Na webu United Airlines jsem zvolil, že jsem zapomněl heslo, zadal jsem jméno, příjmení a číslo z oskenovaného aztéckého kódu. Následovaly dvě jednoduché bezpečnostní otázky, na které se odpovědi daly zjistit během pár vteřin: „první navštívené velké město“ bylo to, ve kterém se ta osoba narodila a „oblíbený zimní sport“ v zemi alpských velikánů nebyl golf. Systém správně poznal, že jsem on a pak už jsem mohl nastavit nové heslo k účtu. Aktualizace 25.5.: tohle se stalo v červnu 2016, od té doby v United Airlines přidali další krok, ve kterém uživatel musí kliknout na odkaz v zaslaném e-mailu, aby mohl nastavit nové heslo. Vypadá to, že dnes bych mohl tomuto pánovi jen nechat poslat tento e-mail.

Stránka pro nastavení nového hesla United Airlines

Vytvoření nového hesla

Nové heslo jsem nenastavil, nechtěl jsem nikomu způsobit nějaké trable. Té osobě jsem to napsal, stejně jako Petrovi Márovi. Obrázek z Facebooku smazal (je pořád na Twitteru), ale nevěřil mi, že bych mohl unést celý účet. Domníval se, že by systém poslal nové heslo jemu.

Po chvíli vysvětlování to pochopil. Do háje, máš pravdu. Právě jsi mohl to heslo změnit, to je šílený. Jo, to je. Jenom proto, že někam dal fotku palubní vstupenky jsem mohl unést jeho účet. Třeba by tam mohl mít uloženou platební kartu na nákup letenek nebo bych se mohl postarat, aby někde zůstal.

Fotky různých kódů na fejsbůky nedávejte

Uživatelé často zveřejňují data, o kterých neví, co znamenají. Na první pohled není totiž vidět, co to je za data nebo k čemu slouží. Někomu se mohou na něco hodit, v nejhorším případě je možné unést nějaký účet. Dávejte si pozor na data, která zveřejňujete. Když úplně přesně nevíte, co data na fotkách a screenshotech znamenají, raději je začerněte (rozmazání někdy nemusí stačit), nebo obrázky raději nezveřejňujte. V odpovědích na bezpečnostní otázky lžete a odpovědi si pamatujte v password manageru, stejně jako vaše hesla. A taky nenechávejte palubní vstupenky v letadlech.

Článek původně vyšel v magazínu 067, předlohou mu byly komentované slajdy z konference Internet a Technologie 17.


Mohlo by vás také zajímat

Aktualizace článku

25.8. Přidána poznámka o dalším kroku při resetu hesla United Airlines

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu:

Úvod do PHP
(11. 12. 2017 Praha)

Třídy a objekty v PHP
(12. 12. 2017 Praha)

Bezpečnost PHP aplikací
(13. 12. 2017 Praha)

Výkonnost webových aplikací
(14. 12. 2017 Praha)

HTTPS pro vývojáře a správce
(prosinec 2017 Praha)

English