亂曬登機(jī)牌很可能導(dǎo)致你的賬戶信息被盜用

責(zé)任編輯:editor006

作者:Alpha_h4ck

2017-10-01 17:27:30

摘自:黑客與極客

這架從倫敦起飛的航班到香港大約要12個(gè)小時(shí),為了弄清楚Petr的返程日期,我可以先上英國(guó)航空的官網(wǎng)搜索一下這個(gè)客票號(hào)。但我像之前一樣,我也給這個(gè)人發(fā)了一條信息,并提醒他以后曬登機(jī)牌的時(shí)候一定要注意。

假期里的每一天都是寶貴的,如果你打算坐飛機(jī)去哪兒旅游的話,你很可能會(huì)在機(jī)場(chǎng)先曬一波登機(jī)牌,但是當(dāng)你準(zhǔn)備把它曬到社交平臺(tái)(例如Facebook、Instagram和微博)的話,我建議你先考慮清楚。

一次去往香港的旅行

我認(rèn)識(shí)Petr Mara已經(jīng)很多年了,他是一個(gè)非常nice的人。他不僅是一名演說(shuō)家、培訓(xùn)師和視頻主播,而且他還是一名iOS&macOS開(kāi)發(fā)人員。除此之外,他也很喜歡旅游。他和他的老婆在2016年5月份曾去往香港慶祝他老婆的生日,但Petr并沒(méi)有告訴我他準(zhǔn)備去多久。但是出于好奇心我得想辦法知道他要去多久,而我在他曬出的登機(jī)牌(飛機(jī)起飛前發(fā)在了Instagram)上發(fā)現(xiàn)了客票訂單號(hào)YJVFKG以及一個(gè)條形碼。

這架從倫敦起飛的航班到香港大約要12個(gè)小時(shí),為了弄清楚Petr的返程日期,我可以先上英國(guó)航空的官網(wǎng)搜索一下這個(gè)客票號(hào)。打開(kāi)搜索頁(yè)面之后,我看到了一個(gè)“礙眼”的紅色按鈕,你知道的,每當(dāng)你看到紅色的按鈕,你想辦法點(diǎn)一下總是沒(méi)錯(cuò)的。于是填寫(xiě)好相關(guān)信息之后,我點(diǎn)擊了這個(gè)紅色按鈕。

英國(guó)航空需要確定是Petr本人正在嘗試修改信息,而我可以直接輸入他的護(hù)照號(hào)或生日,雖然我不知道他的護(hù)照號(hào),但我可以在他的Facebook資料中找到他的生日以及捷克共和國(guó)的商業(yè)登記表。相對(duì)其他信息來(lái)說(shuō),生日一般可以算是某種公開(kāi)信息了,,而且生日也可以反映在稅號(hào)或商業(yè)登記表的VAT編號(hào)上,因此它并不能算是什么秘密。

最終,我找到了他的護(hù)照號(hào)!而且我甚至還可以修改它。這樣一來(lái),我就可以想辦法讓Petr在香港再多呆幾天了。我可以把他的護(hù)照號(hào)改成某個(gè)全球通緝的罪犯的護(hù)照號(hào),但我并沒(méi)有這樣做。我把這一切告訴了Petr,而且我還跟他道了歉,因?yàn)槲业牟僮髯屗?4小時(shí)之內(nèi)都無(wú)法訪問(wèn)航空公司的訂票頁(yè)面了(因?yàn)槲以鴩L試猜測(cè)他老婆的生日)。不過(guò)還好,Petr原諒了我。不過(guò)這也給他上了一課:當(dāng)你想曬登機(jī)牌的時(shí)候,該打碼的地方一定要打碼!

社交平臺(tái)上隨處可見(jiàn)的登機(jī)牌

你可以在很多社交平臺(tái)上找到大量的登機(jī)牌照片,有些人會(huì)自作聰明地給自己的名字和其他信息打碼,但登機(jī)牌上的二維碼他們卻置之不理。比如說(shuō)下面這個(gè)例子,這個(gè)登機(jī)牌屬于一位名叫Anna的年輕姑娘:

Anna的全名是Anna Ferencakova,這張登機(jī)牌是她當(dāng)初在2017年4月份從布拉格到塞爾維亞的貝爾格萊德所用的,這一切當(dāng)你掃描了上面的條形碼之后你自然就知道了。

由于現(xiàn)在越來(lái)越多的人開(kāi)始使用各種智能設(shè)備,條形碼或二維碼甚至可以直接在智能手表上直接顯示,下面這張圖片顯示的是一張登機(jī)牌上的Aztec code(一種二維碼),這種圖碼中包含的信息與以前紙質(zhì)版登機(jī)牌上的信息是一樣的,但是有了智能手表,你就不需要再打印紙質(zhì)登機(jī)牌了,你只需要在登機(jī)時(shí)伸手掃描一下就可以了,這就是高科技…

這個(gè)手表是Stephen Fenech的,他當(dāng)時(shí)是從舊金山直飛紐約。跟剛才一樣,我也是掃了他的Aztec code才知道的。Aztec code中還包含一個(gè)非常重要的信息:即飛行常旅客編號(hào)。Fenech先生的美國(guó)航空常旅客編號(hào)為4708760。關(guān)于登機(jī)牌的更多內(nèi)容,大家還可以參考《智能手表與登機(jī)牌的陷阱》。

  竊取賬號(hào)

在社交平臺(tái)上搜索登機(jī)牌時(shí),我發(fā)現(xiàn)了一個(gè)Aztec code,這個(gè)登機(jī)牌是一個(gè)男性乘客發(fā)出來(lái)的(部分信息已打碼)。他在某個(gè)特定領(lǐng)域內(nèi)算是個(gè)名人,而且Twitter有12萬(wàn)多的粉絲。圖片中的二維碼包含了他的美聯(lián)航常旅客編號(hào)。而美聯(lián)航會(huì)將這種常旅客號(hào)當(dāng)成一種超級(jí)訪問(wèn)密碼,一般他們?cè)诠俜叫偶洗蛴∵@種號(hào)碼時(shí)都只會(huì)打印最后三位數(shù)字,剩余部分則不會(huì)打印出來(lái)(像密碼一樣用*代替)。當(dāng)然了,Aztec code中顯示的是完整的飛行常旅客號(hào),所以我覺(jué)得可以用這個(gè)編號(hào)來(lái)入侵這個(gè)人的賬號(hào)。

所以我進(jìn)入了美聯(lián)航的官網(wǎng),選擇了“忘記密碼”,然后輸入了姓名和Aztec code中包含的飛行常旅客號(hào)。接下來(lái)的兩個(gè)安全問(wèn)題也是比較簡(jiǎn)單的:“你去過(guò)的第一個(gè)大城市”就是他的出生地,而“你最喜歡的冬季活動(dòng)”在阿爾卑斯山區(qū)肯定也不會(huì)是高爾夫。系統(tǒng)識(shí)別成功之后,我就可以給他的賬號(hào)設(shè)置一個(gè)新的密碼了。

其實(shí)我并沒(méi)有設(shè)置新的密碼,因?yàn)槲乙膊幌虢o他人帶來(lái)不必要的麻煩。但我像之前一樣,我也給這個(gè)人發(fā)了一條信息,并提醒他以后曬登機(jī)牌的時(shí)候一定要注意。

任何帶有條碼的圖片都不要曬!

很多人在發(fā)一條狀態(tài)或者照片時(shí),他們其實(shí)往往都不知道這種行為意味著什么。因?yàn)橐谎劭催^(guò)去,其實(shí)你并看不出什么有價(jià)值的內(nèi)容,但是你所認(rèn)為沒(méi)價(jià)值的東西在某些人眼里就是非常有價(jià)值的。所以當(dāng)你想要在社交平臺(tái)上曬什么東西之前,一定要考慮清楚,該打碼的地方一定要打碼。不過(guò)友情提醒一下,馬賽克也許根本救不了你…

* 參考來(lái)源:michalspacek,F(xiàn)B小編Alpha_h4ck編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)