乱晒登机牌很可能导致你的账户信息被盗用
作者:admin | 时间:2017-10-2 04:23:56 | 分类:黑客技术 隐藏侧边栏展开侧边栏
假期里的每一天都是宝贵的,如果你打算坐飞机去哪儿旅游的话,你很可能会在机场先晒一波登机牌,但是当你准备把它晒到社交平台(例如Facebook、Instagram和微博)的话,我建议你先考虑清楚。
一次去往香港的旅行
我认识Petr Mara已经很多年了,他是一个非常nice的人。他不仅是一名演说家、培训师和视频主播,而且他还是一名iOS&macOS开发人员。除此之外,他也很喜欢旅游。他和他的老婆在2016年5月份曾去往香港庆祝他老婆的生日,但Petr并没有告诉我他准备去多久。但是出于好奇心我得想办法知道他要去多久,而我在他晒出的登机牌(飞机起飞前发在了Instagram)上发现了客票订单号YJVFKG以及一个条形码。
这架从伦敦起飞的航班到香港大约要12个小时,为了弄清楚Petr的返程日期,我可以先上英国航空的官网搜索一下这个客票号。打开搜索页面之后,我看到了一个“碍眼”的红色按钮,你知道的,每当你看到红色的按钮,你想办法点一下总是没错的。于是填写好相关信息之后,我点击了这个红色按钮。
英国航空需要确定是Petr本人正在尝试修改信息,而我可以直接输入他的护照号或生日,虽然我不知道他的护照号,但我可以在他的Facebook资料中找到他的生日以及捷克共和国的商业登记表。相对其他信息来说,生日一般可以算是某种公开信息了,,而且生日也可以反映在税号或商业登记表的VAT编号上,因此它并不能算是什么秘密。
最终,我找到了他的护照号!而且我甚至还可以修改它。这样一来,我就可以想办法让Petr在香港再多呆几天了。我可以把他的护照号改成某个全球通缉的罪犯的护照号,但我并没有这样做。我把这一切告诉了Petr,而且我还跟他道了歉,因为我的操作让他在24小时之内都无法访问航空公司的订票页面了(因为我曾尝试猜测他老婆的生日)。不过还好,Petr原谅了我。不过这也给他上了一课:当你想晒登机牌的时候,该打码的地方一定要打码!
社交平台上随处可见的登机牌
你可以在很多社交平台上找到大量的登机牌照片,有些人会自作聪明地给自己的名字和其他信息打码,但登机牌上的二维码他们却置之不理。比如说下面这个例子,这个登机牌属于一位名叫Anna的年轻姑娘:
Anna的全名是Anna Ferencakova,这张登机牌是她当初在2017年4月份从布拉格到塞尔维亚的贝尔格莱德所用的,这一切当你扫描了上面的条形码之后你自然就知道了。
由于现在越来越多的人开始使用各种智能设备,条形码或二维码甚至可以直接在智能手表上直接显示,下面这张图片显示的是一张登机牌上的Aztec code(一种二维码),这种图码中包含的信息与以前纸质版登机牌上的信息是一样的,但是有了智能手表,你就不需要再打印纸质登机牌了,你只需要在登机时伸手扫描一下就可以了,这就是高科技…
这个手表是Stephen Fenech的,他当时是从旧金山直飞纽约。跟刚才一样,我也是扫了他的Aztec code才知道的。Aztec code中还包含一个非常重要的信息:即飞行常旅客编号。Fenech先生的美国航空常旅客编号为4708760。关于登机牌的更多内容,大家还可以参考《智能手表与登机牌的陷阱》。
窃取账号
在社交平台上搜索登机牌时,我发现了一个Aztec code,这个登机牌是一个男性乘客发出来的(部分信息已打码)。他在某个特定领域内算是个名人,而且Twitter有12万多的粉丝。图片中的二维码包含了他的美联航常旅客编号。而美联航会将这种常旅客号当成一种超级访问密码,一般他们在官方信件上打印这种号码时都只会打印最后三位数字,剩余部分则不会打印出来(像密码一样用*代替)。当然了,Aztec code中显示的是完整的飞行常旅客号,所以我觉得可以用这个编号来入侵这个人的账号。
所以我进入了美联航的官网,选择了“忘记密码”,然后输入了姓名和Aztec code中包含的飞行常旅客号。接下来的两个安全问题也是比较简单的:“你去过的第一个大城市”就是他的出生地,而“你最喜欢的冬季活动”在阿尔卑斯山区肯定也不会是高尔夫。系统识别成功之后,我就可以给他的账号设置一个新的密码了。
其实我并没有设置新的密码,因为我也不想给他人带来不必要的麻烦。但我像之前一样,我也给这个人发了一条信息,并提醒他以后晒登机牌的时候一定要注意。
任何带有条码的图片都不要晒!
很多人在发一条状态或者照片时,他们其实往往都不知道这种行为意味着什么。因为一眼看过去,其实你并看不出什么有价值的内容,但是你所认为没价值的东西在某些人眼里就是非常有价值的。所以当你想要在社交平台上晒什么东西之前,一定要考虑清楚,该打码的地方一定要打码。不过友情提醒一下,马赛克也许根本救不了你…
* 参考来源:michalspacek,FB小编Alpha_h4ck编译