不炫不死，曬登機牌招來的禍

新聞 08-27

在這個互相曬的年代，吃個飯、睡個覺……無所不曬，似乎不曬一曬就少了點啥。曬本身沒有錯，不過千萬不要泄露自己隱私，因為，實施欺詐的所有必要信息均列印在你的機票上，以免遭受安全威脅。但有些人則對這一警告視而不見。為此，我們常常能在例如搜索引擎的圖片搜索里看到不少人曬出的機票照片。只需搜索「登機牌」兩字就能找出一大堆這樣的晒圖。

這不，最近有人因為在Facebook上曬了自己的登機牌，從而導致社交帳戶被盜。

從以上登機牌，你能得到什麼信息？

首先，登記人的訂位代號是YJVFKG以及明顯的機票條形碼。

其次，登記人的登記出發地和目的地，登機時間，航空公司都能一覽無餘。

現在，我可以告訴你，這是我的好友Petr Mára 2016去香港旅行的登機牌。如果有心懷不軌的人企圖找出更多的關於Petr Mára的信息，那可以登錄到英國航空公司的網站，輸入正確的訂位代號即可。提交後，你就可以了解到Petr Mára所有的飛行數據以及個人信息。

如果想要修改Petr Mára的個人信息是否可以呢？答案是可以的。不過航空公司會先驗證你的個人信息，比如出生日期，護照號碼等，那這個障礙怎麼克服呢？很簡單，只要認真看一看Petr的Facebook個人資料頁，就能了解到他的生日等各種隱私信息。

等得到這些信息後，攻擊者就可以登錄到Petr的航空賬戶來修改其個人登記信息。比如護照號改變為國際通緝犯的護照號，讓Petr寸步難行，或取消Petr的機票預定信息甚至隨意更改座位。

如果願意你將會在Facebook和Instagram上找到很多登機牌照片，一些旅行者試圖耍個聰明，在上傳時，模糊他們的名字和其他細節，但卻忘了覆蓋條形碼。例如下面晒圖的這位用戶叫Anna.。

Anna的全名是AnnaFeren?áková，她於2017年4月從布拉格到塞爾維亞貝爾格萊德旅行。通過掃描條形碼後，登機牌上的信息也能被完全顯示出來。

掃描條形碼

隨著越來越多的人使用智能設備，登機牌的條形碼也可以顯示在手錶中。以下是在某人的iWatch上顯示的登機牌的Aztec Code 條形碼。該代碼包含的信息與紙質的一模一樣。但是使用條形碼的好處卻比紙質的要方便很多，因為這免除了排隊列印的過程，只需要從門禁應用程序中掃描代碼即可。

這隻手錶屬於Stephen Fenech，也是我的一個好友，從舊金山到紐約。處於好奇，我掃描了他的Aztec代碼。關於如何使用智能手錶來發現登機牌的漏洞，請點擊這裡。通過掃描我發現了Fenech的美國航空公司的飛行常客號碼是4708760。

攻擊帳戶

當在Facebook上搜索該機牌時，它的持有人也就是Stephen的頭像竟是阿茲特克人，而且他在某些圈子中還是知名人士，在Twitter上有約12萬名追隨者，並在歐洲和美國創立了一些組織。上圖中的訂位代號同時也是用戶在美國航空公司的官方登錄訪問碼。一般情況下，如果他們在正式信件上列印飛行常客號碼時，只列印最後3位數字。當然，掃描Aztec Code 條形碼可以得到一個完整的號碼，所以我正在考慮使用它來嘗試劫持Stephen的Facebook帳號。

首先我登錄到美國航空公司的網站，選擇了忘記密碼，並從掃描的Aztec代碼中輸入了已經顯示的登錄用戶名和相應的號碼。接下來的兩個安全性提問都可以在Stephen的Facebook資料頁上找到，比如出生地，最喜歡的天氣。這樣賬號就會確認是Stephen在登錄，一旦我進入就會重新設置密碼。也許是美國航空公司也發現了該漏洞，目前要設置新密碼時，他們會向用戶的註冊電子郵件發送一個修改鏈接，只有通過它才能修改。

由於這是我朋友的賬號，所以我只是進行了一個實驗性的攻擊，並沒有設置新的密碼。事後，我向他展示了該測試過程，他也從Facebook刪除了炫耀Aztec代碼的圖片。

有什麼安全「曬」門票的方法嗎？

首先，我不建議大家在社交網路曬太具有個人隱私的圖片，真有那麼嚴重的危害嗎？

你還記得一名叫Chantelle的澳大利亞女士在墨爾本杯賽馬比賽上贏得825美元獎金，她就因為」曬出」自己的獎券而損失了所有獎金。

其實你發一句文字就可以了，比如「今天我去哪旅遊了」。如果你就喜歡曬，那有什麼辦法能讓你更安全一些嗎？通過本文的講解，我的意思是除了模糊個人信息外，也把條形碼遮住。

如果是很明顯的數據信息圖片，用戶應該不會隨便往網上傳，但用戶經常發布他們有意思的圖片，比如二維碼，但懂行的人都知道，二維碼其實就是一種肉眼看不見的數據而已。

目前有兩種條形碼，1D條形碼用於編碼少量信息，而2D條形碼則用於存儲大量數據。1D條形碼基於二進位代碼編寫而成。說起來有那麼點複雜：每個十進位數字由7條豎線組成，有白色也有黑色。有時候黑線之間並不用白線分隔，因此顯得黑線特別粗。條形碼的最後部分通常表示檢驗數位，用來確認讀數精度。無論是電影票、演唱會門票還是機票都印有多個檢驗數位，以確認條形碼中提供的數據。

除了曬登機牌之外，旅行時的行李簽也不要曬，它的信息含金量和登機牌一樣多。每個經過GDS分發的機票都會有一個PNR碼，這個編碼被列印在機票和行李簽上，所以只要有人看到或者拍到了你的機票或行李簽，理論上他就可以獲得你訂票時預留的信息，包括家庭住址、郵箱、電話、信用卡號、常旅客號碼，以及你訂票時的IP地址。比如下圖，PNR碼後面關聯的旅客信息，包括郵箱、電話、信用卡號等各種信息。

更糟糕的是，由於現在的航空公司和GDS都沒有限制密碼驗證的次數，所以黑客可以通過非常粗暴的方式破解你的密碼。這樣一來，黑客可以變更你的訂票信息，你的行程可能會被取消，或者收到一個你沒有預定的行程。更常見也更可怕的是可能會有接踵而來的網路詐騙——因為騙子已經知道了你所有的信息。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

※震驚！你家的智能冰箱可以監視你的一舉一動
※「點開我的鏈接我就能控制你的電腦」之Facebook Messenger版
※由正則引起的 Wecenter 拒絕服務漏洞
※概念研究：新型攻擊可以修改已發送的電子郵件內容

TAG:嘶吼RoarTalk |

您可能感興趣

※真不開玩笑，別濫用登機牌，又有人在樟宜機場被抓了
※楊紫找不到登機牌，竟在這種地方發現，馬天宇哭笑不得：我真的給你跪了！
※別亂扔！原來，登機牌後還藏著這麼多你不知道的個人信息！
※為什麼說隨便曬自己的登機牌不安全？
※鄭愷被曝耍大牌，坐飛機換座被拒後要查網友登機牌
※你把登機牌隨手扔了？不做這事你會害了自己！
※忘帶身份證了？丟了登機牌了？別怕，咱們「刷臉」通關！
※抄襲當作榮耀，這種手機牌子果真一再刷新不要臉的底線
※注意！登機牌上出現這個神秘記號，你就被盯上了！
※追星太瘋狂，留學生在新加坡機場濫用登機牌被捕！
※男子翻牆進機場過安檢無登機牌卻上了飛機他是精神病
※警惕 | 注意！登機牌上出現這個神秘記號，你就被盯上了！
※抱歉我之前理解錯了，這些卡似乎真是用來「污染」爐石隨機牌庫的
※機場追星利益鏈曝光！黃牛賣信息賣登機牌無比瘋狂！網友驚呆了！
※聽說泰國曼谷機場很大，請問怎麼看登機牌上的登機口在哪裡？
※5歲女童取名「Abcde」乘機遭嘲笑登機牌也被曝光
※坐飛機不用帶身份證！eID電子登機牌直接通關
※向佐機場接岳父到香港，看到他的接機牌子，網友紛紛被逗笑了
※旅遊達人告訴你，飛機票和登機牌究竟是啥有什麼區別？
※雷-阿倫曬登機牌：地球的另一邊我來了