乱晒登机牌很可能导致你的账户信息被盗用

假期里的每一天都是宝贵的,如果你打算坐飞机去哪儿旅游的话,你很可能会在机场先晒一波登机牌,但是当你准备把它晒到社交平台(例如Facebook、Instagram和微博)的话,我建议你先考虑清楚。

一次去往香港的旅行

我认识Petr Mara已经很多年了,他是一个非常nice的人。他不仅是一名演说家、培训师和视频主播,而且他还是一名iOS&macOS开发人员。除此之外,他也很喜欢旅游。他和他的老婆在2016年5月份曾去往香港庆祝他老婆的生日,但Petr并没有告诉我他准备去多久。但是出于好奇心我得想办法知道他要去多久,而我在他晒出的登机牌(飞机起飞前发在了Instagram)上发现了客票订单号YJVFKG以及一个条形码。

这架从伦敦起飞的航班到香港大约要12个小时,为了弄清楚Petr的返程日期,我可以先上英国航空的官网搜索一下这个客票号。打开搜索页面之后,我看到了一个“碍眼”的红色按钮,你知道的,每当你看到红色的按钮,你想办法点一下总是没错的。于是填写好相关信息之后,我点击了这个红色按钮。

英国航空需要确定是Petr本人正在尝试修改信息,而我可以直接输入他的护照号或生日,虽然我不知道他的护照号,但我可以在他的Facebook资料中找到他的生日以及捷克共和国的商业登记表。相对其他信息来说,生日一般可以算是某种公开信息了,,而且生日也可以反映在税号或商业登记表的VAT编号上,因此它并不能算是什么秘密。

最终,我找到了他的护照号!而且我甚至还可以修改它。这样一来,我就可以想办法让Petr在香港再多呆几天了。我可以把他的护照号改成某个全球通缉的罪犯的护照号,但我并没有这样做。我把这一切告诉了Petr,而且我还跟他道了歉,因为我的操作让他在24小时之内都无法访问航空公司的订票页面了(因为我曾尝试猜测他老婆的生日)。不过还好,Petr原谅了我。不过这也给他上了一课:当你想晒登机牌的时候,该打码的地方一定要打码!

社交平台上随处可见的登机牌

你可以在很多社交平台上找到大量的登机牌照片,有些人会自作聪明地给自己的名字和其他信息打码,但登机牌上的二维码他们却置之不理。比如说下面这个例子,这个登机牌属于一位名叫Anna的年轻姑娘:

Anna的全名是Anna Ferencakova,这张登机牌是她当初在2017年4月份从布拉格到塞尔维亚的贝尔格莱德所用的,这一切当你扫描了上面的条形码之后你自然就知道了。

由于现在越来越多的人开始使用各种智能设备,条形码或二维码甚至可以直接在智能手表上直接显示,下面这张图片显示的是一张登机牌上的Aztec code(一种二维码),这种图码中包含的信息与以前纸质版登机牌上的信息是一样的,但是有了智能手表,你就不需要再打印纸质登机牌了,你只需要在登机时伸手扫描一下就可以了,这就是高科技…

这个手表是Stephen Fenech的,他当时是从旧金山直飞纽约。跟刚才一样,我也是扫了他的Aztec code才知道的。Aztec code中还包含一个非常重要的信息:即飞行常旅客编号。Fenech先生的美国航空常旅客编号为4708760。关于登机牌的更多内容,大家还可以参考《智能手表与登机牌的陷阱》。

窃取账号

在社交平台上搜索登机牌时,我发现了一个Aztec code,这个登机牌是一个男性乘客发出来的(部分信息已打码)。他在某个特定领域内算是个名人,而且Twitter有12万多的粉丝。图片中的二维码包含了他的美联航常旅客编号。而美联航会将这种常旅客号当成一种超级访问密码,一般他们在官方信件上打印这种号码时都只会打印最后三位数字,剩余部分则不会打印出来(像密码一样用*代替)。当然了,Aztec code中显示的是完整的飞行常旅客号,所以我觉得可以用这个编号来入侵这个人的账号。

所以我进入了美联航的官网,选择了“忘记密码”,然后输入了姓名和Aztec code中包含的飞行常旅客号。接下来的两个安全问题也是比较简单的:“你去过的第一个大城市”就是他的出生地,而“你最喜欢的冬季活动”在阿尔卑斯山区肯定也不会是高尔夫。系统识别成功之后,我就可以给他的账号设置一个新的密码了。

其实我并没有设置新的密码,因为我也不想给他人带来不必要的麻烦。但我像之前一样,我也给这个人发了一条信息,并提醒他以后晒登机牌的时候一定要注意。

任何带有条码的图片都不要晒!

很多人在发一条状态或者照片时,他们其实往往都不知道这种行为意味着什么。因为一眼看过去,其实你并看不出什么有价值的内容,但是你所认为没价值的东西在某些人眼里就是非常有价值的。所以当你想要在社交平台上晒什么东西之前,一定要考虑清楚,该打码的地方一定要打码。不过友情提醒一下,马赛克也许根本救不了你…

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯数据中心

Google水冷服务器,制冷革命正当时

Google首次开放了其位于美国和欧洲地区的数据中心后,媒体公布了一批其数据中心的照片。照片里谷歌数据中心内成千上万台服务器严阵以待,线缆以及冷却管道色彩各异,...

4975
来自专栏新智元

隐写机密代码、拷走通用数据,华人“千人计划”专家被FBI逮捕!

【新智元导读】7月5日,因涉嫌窃取商业秘密,国家“千人计划”专家、通用电气主任工程师(Principal Engineer at GE Power)郑小清被FB...

1193
来自专栏针针小站

【Skill】大学生提前养卡系列 – Y-POWER信用卡(校园版)

1545
来自专栏漏斗社区

专属| 940万名客户信息遭泄露

据报道,日前大型国际航空公司国泰航空披露,在今年3月发生的一次数据泄露事件中,该公司的940万名乘客的记录被盗,含有姓名、出生日期、住址等个人信息的护照信息也可...

1614
来自专栏漏斗社区

专属| Linux内核曝漏洞

在2018Black Hat会议上,来自Kzen Networks的安全研究人员透露: Cortana存在漏洞可利用Cortana漏洞绕过Windows 10系...

1542
来自专栏Python、Flask、Django

2017已过,2018你好

1202
来自专栏lonelydawn的前端猿区

Vuex从入门到精通(三)

开始 前言 这一节,我们将通过一个实战案例 : 动态展示从后台返回的新闻列表 允许用户根据来源, 和 内容&标题 中的关键字对新闻列表进行筛选 来加...

3849
来自专栏漏斗社区

专属| 苹果账号遭集体盗刷

近日Bitdefender Labs发布报告称已经发现Hide and Seek新型变种。利用Android开发者调试之用的Android Debug Brid...

1152
来自专栏腾讯数据中心

数据中心专用术语词典首发!破译圈内暗语

随着互联网数据中心的蓬勃发展,IDC相关的讯息也呈几何级喷发。不胜枚举的行业术语、不拘一格的表达方式,对传递数据中心相关信息的影响已不可小觑。本文可以帮助大家更...

7104
来自专栏VRPinea

蔡司史上最便宜产品——售价129美金的VR头显正式发售

2204

扫码关注云+社区