本文通过实际案例揭示了公开登机牌可能导致个人信息泄露的风险,强调了条形码和二维码中隐藏的重要信息,如订单号和个人身份信息等。
- 原文地址:Post a boarding pass on Facebook, get your account stolen
- 原文作者:Michal Špaček
- 译文出自:掘金翻译计划
- 本文永久链接:github.com/xitu/gold-m…
- 译者:lampui
- 校对者:Tina92、 zhangqippp
假期正在火热地进行中,当你想要晒晒自己去了哪儿的时候,留心自己发上 Facebook 或 Instagram 的信息。登机牌(或其他有条码的票据)自己留着(或者用碎纸机处理掉)。
一趟前往香港的旅行
我认识 Petr Mára 好几年了,他是一个很友好的人,同时他也是一位演讲者、训练者、视频主播及 IOS & macOS 的发烧友。他还很爱去旅行,在 2016 年 5 月,他就带着她妻子一起去了趟香港庆祝她的生日,但 Petr 没有说他们会去多久,当然,我最后还是知道了!在 Petr 还没飞的时候,他发了一条动态,这条动态上面有一个带着订单号 YJVFKG 和一些条码的登机牌,就是那一刻,我知道了他要在香港呆多久。一般而言,你最好别公开任何印有订单号、二维码或条码的登机牌、票据。
Petr Mára 发的这条动态
这趟航班从伦敦起飞,大概要飞 12 个小时,所以他们只待 5 天?只要上英国航空公司官网,并在右边的输入框输入他的订单号,然后你就可以找到 Petr 在香港的起降机场了。提交了订单号之后我才发现,除了其他事情之外,Petr 已经把所需的数据都填好了。也不奇怪,他人都在香港了。然后下面有一个 View or change details 的红色按钮。你应该懂的,你看到一个红色按钮,你就要点它,所以我点了。
航空公司登录页面
所需数据已完整
航空公司想认证修改信息的是我 Petr,我可以输入他的护照号码或生日,但我(目前)不知道。在 Petr 的 Facebook 个人主页有他的生日,这在捷克共和国的 Business Register 或 Trade Register也是公开的。每个人的生日其实都算是公开的秘密啦!在交易商和自由职业者的增值税税收 id 上也可以找到一个人的生日,所以生日不算什么秘密。
Petr 的详细信息
最终,我找到了他的护照号码!我甚至可以修改它!酷!我可以令 Pter 和 他妻子在香港庆祝生日得更久一点。只需输入一个国际通缉犯或是其他什么的护照号码。
我没有修改任何信息,并把这件事告诉了 Petr。我向他道了歉,因为我试着猜测他妻子的生日而令他在接下来的 24 小时以内不能访问他的预订页面。当然啦,之后我谷歌到了他妻子的生日。非常感谢 Petr 知道这件事后还是对我这么友好!5 个月后,从他下一条发有登机牌的朋友圈就知道,Petr 已经上了一堂课 — 订单号或条码都要打码。
更多 Facebook 和 Instagram 的照片
你能在 Facebook 或 Instagram 发现大量的登机牌照片。有些旅客试着聪明点,于是将他(她)们的名字或其他信息打码,然而一些条码却赤裸裸的,像下面这位叫 Anna 的女士。
Instagram 中的随机条码
Anna 的全名叫 Anna Ferenčáková,在 2017 年 4 月,她从布拉格飞往塞尔维亚的首都 — 贝尔格莱德。你扫了那张照片上的条形码就能知道这些信息了!条码也可以在“遗落”于飞机上的登机牌或其他地方被找到。
扫描后的条码信息
随着越来越多的人使用“智能”设备,登机牌上的条码也可以在智能手表中被找到,下面是一个能在某人的 iWatch 上显示登机牌的所谓的 Aztec 二维码。这个二维码包含了跟传统纸质登机牌一样的(或类似的)信息,但这些信息在一个智能手表上,你就不需要打印你的登机牌,你要做的就是在过关的时候伸出手去扫一扫就行了,未来已来。
智能手表上的 Aztec 二维码
这只手(和手表)是 Stephen Fenech 的,这张照片是拍在他从旧金山去往纽约的途中。我们又一次知道了这些信息,因为我们扫了 Aztec 二维码。我们可以通过阅读这篇关于在"智能"手表上使用登机牌的陷井,你的手腕 – 只是不适合一些扫描仪。在 Aztec 二维码还有一项重要的信息:一个代表该旅客是频繁飞行旅客的号码。Fenech 先生的这个号码是 4708760。
扫描后的 Aztec 二维码
盗号
当在 Facebook 搜索登机牌的时候,我找到了一张有 Aztec 二维码的照片,这张照片是一个匿名男子拍的。他在某个圈子很有名,Twitter 上大概有 120,000 名的粉丝,在欧洲和美国也有些背景。这个二维码包含了他在联合航空公司的频繁飞行旅客号码。这间航空公司对待这些号码就像对待高级秘密访问口令。如果他们需要将这些号码打印到官方文件,他们只会显示最后 3 位数字,而其他位则会隐蔽,就像密码那样。在 Aztec 二维码中扫出来的频繁飞行旅客号码是完整的,当然,所以我在想利用它并黑进那个人的账户。为什么不黑呢,对吧,这应该不会那么简单。
所以我上了联合航空公司的官网,选择了忘记密码,然后输入从 Aztec 二维码得来的名字和号码,接着用了几秒时间回答了 2 个安全问题:“你访问的第一个大城市?”和“你最喜爱的冬季运动?”,第一个问题的答案就是那个人的出生地,第二个问题的答案在高山国家的话肯定不是高尔夫。系统无误地将我认定为账号的真实主人,然后我可以给他的账号设置一个新密码。更新 8 月 25 日:这件事情发生在 2016 年 6 月,联合航空公司已经加多了一项保护措施,他们会要求用户点击一条发送到用户邮箱里的修改密码链接,看来我现在能发送这样的电子邮件了。
创建新密码
我没有设置一个新密码,我并不想给任何人带来麻烦。我发了一条消息给那个人,就像我发了条消息给 Petr Mára 一样。他已经在 Facebook(但 Twitter 上还在)删除了那张含有 Aztec 二维码的照片。但他不信我可以劫持他的账户,他以为联合航空公司网站会发个新密码给他。
经过一番简单的解释之后,他懂了! Oh shit,你是对的!你可以把密码给改了!这简直就是疯了!没错,确实是这样。就因为他上传了他的登机牌,我可以盗他的号!也许未来的买卖会有储蓄支付卡,又或者我可以令他在某个地方卡死。
别公开任何含有代码的图片
用户通常会不经意间公开一些在他(她)们眼里没有价值的数据,因为在第一眼看来,不太可能看出这些数据隐含着什么信息或者有什么用。某些人可能会觉得在某些地方有用。最坏情况下,还是有可能被盗号的。所以对你需要上传或公开的数据还是要留点心好。当你想上传到 Facebook 但又不确定照片或截图中有什么数据时,你可以用一个黑色的矩形或者任意其他你喜欢的形状(单单模糊化可能还不够)掩盖它,又或者干脆就别发布了。当创建安全认证问题的时候,你要学会撒谎。你可以用密码管理工具“记住”你的答案,就像记住你的密码那样,还有就是别把你的登机牌留在飞机上。
这篇文章是基于我在 CZ domain registry 的演讲(在捷克)。
推荐阅读
- 登机牌的条码上面有什么?很多,作者 Brian Krebs.
- Carmen Sandiego 在世界的哪里?,一个由 Karsten Nohl 和 Nemanja Nikodijevic 进行的 33C3 演讲
更新
8.25 当重置联合航空公司密码时需要额外操作
Michal Špaček
我构建 web 应用程序并且关心 web 应用程序安全,我乐于分享安全方面的开发。我的职责是教授 web 开发者如何构建安全且快速的 web 应用程序及其原因。
掘金翻译计划 是一个翻译优质互联网技术文章的社区,文章来源为 掘金 上的英文分享文章。内容覆盖 Android、iOS、React、前端、后端、产品、设计 等领域,想要查看更多优质译文请持续关注 掘金翻译计划、官方微博、知乎专栏。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
