Μεγάλη προσοχή με το Boarding Pass σας!! – Περιέχει προσωπικές πληροφορίες που θα μπορούσαν να χρησιμοποιήσουν χάκερς για να διεξάγουν στοχευμένες επιθέσεις εναντίον σας!
Αφού ολοκληρώσατε την πτήση σας και προσγειωθήκατε σώοι και αβλαβείς, το boarding pass που έχετε φυλαγμένο στην τσέπη σας σίγουρα θα μοιάζει περιττό και θα σκεφτείτε να το πετάξετε στο πρώτο κάδο που θα συναντήσετε μπροστά σας, ναι; Σίγουρα όχι!
Έχετε σκεφτεί ποτέ τι είδους πληροφορίες περιέχονται σε ένα απλό barcode; Όχι;
Ο διάσημος ερευνητής Brian Krebs έχει δημοσιεύσει ένα πολύ ενδιαφέρον post επί του θέματος, εξηγώντας πως το Boarding Pass Barcode περιέχει πολλά δεδομένα. Οι αεροπορικές εταιρείες χρησιμοποιούν το boarding pass barcode σε κάθε ένα boarding pass, αλλά τι μπορεί αλήθεια να συμβεί εάν κάποιος προσπαθήσει να διαβάσει τις πληροφορίες που περιέχει;
Ο Krebs ανέφερε την περίπτωση όπου ένας από τους αναγνώστες του, με το όνομα Cory, αφού είδε έναν φίλο του να ποστάρει στο Facebook το boarding pass του, αποφάσισε να το αναλύσει.
“Βρήκα ένα website που μπόρεσε να αποκωδικοποιήσει τα δεδομένα και αμέσως είχα στην διάθεσή μου πολλές πληροφορίες για το ταξίδι του,” αναφέρει ο Cory, “Εκτός του ονόματός του, τον αριθμό της πτήσης και άλλα προσωπικά του δεδομένα, μπόρεσα να δω το record locator του (δηλαδή το “record key” που είχε για την πτήση του με την εταιρεία Lufthansa εκείνη την ημέρα,”
“Στη συνέχεια επισκέφθηκα το website της Lufthansa και χρησιμοποιώντας το επίθετό του (το οποίο φυσικά ήταν ενσωματομένο στο barcode) και τον record locator μπόρεσα να αποκτήσω πρόσβαση στον λογαριασμό του. Αυτό σημαίνει πως όχι απλά μπόρεσα να δω την συγκεκριμένη πτήση, αλλά και όλες τις επόμενες που είχαν γίνει booked στον flyer number του από το Star Alliance.”
Είναι τρομακτικό αν σκεφτεί κανείς το τι μπορεί να κάνει ένας κακόβουλος χρήστης με τέτοιου είδους πληροφορίες.
Στην ιστορία του Cory βλέπουμε πως, ήταν σε θέση να χρησιμοποιήσει αυτές τις πληροφορίες που είναι διαθέσιμες στο barcode και να μπει στο website της Lufthansa, να αποκτήσει πρόσβαση στον αριθμό τηλεφώνου του φίλου του, στο όνομα του προσώπου που έκανε την κράτηση, καθώς και στις μελλοντικές πτήσεις που συνδέεονται με τον ίδιο flyer account.
Πως θα σας φαινόταν το ενδεχόμενο να διαξάγει κάποιος εναντίον σας μια στοχευμένη επίθεση με αυτά τα δεδομένα; Για παράδειγμα ένας επιτιθέμενος μπορεί να στείλει στο θύμα ένα spear phishing email αναφερόμενο στις πτήσεις του.
Η κατάσταση μπορεί να γίνει χειρότερη αν σκεφτούμε πως ο χάκερ εφόσον έχει πρόσβαση στις μελλοντικές σας πτήσεις μπορεί να τις ακυρώσει ή να αλλάξει την θέση σας στο αεροπλάνο.
Ένας χάκερ μπορεί επίσης να αλλάξει τον κωδικό PIN σας που σχετίζεται με τον Star Alliance frequent flyer account, και στην περίπτωση του Cory, ο ίδιος προσπάθησε να χρησιμοποιήσει την επαναφορά κωδικού μέσω του “Forgot Pin” και η ερώτηση ασφαλείας που είχε θέσει ο φίλος του ήταν: “What is your Mother’s maiden name?”. Μια πληροφορία σαν αυτή δεν είναι και τόσο δύσκολο να την βρεις διαθέσιμη στα social media.
Αυτά είναι μερικά μόνο απλά παραδείγματα για το τι μπορεί να κάνει κάποιος με ένα barcode, και τι είδους πληροφορίες μπορεί να εξάγει από αυτό. Συχνά οι περισσότεροι άνθρωποι νομίζουν πως και να αποκαλυφθούν μερικές πληροφορίες τους δεν τρέχει κάτι… μάλλον συμβαίνει επειδή δεν σκέφτονται σαν ‘εγκληματίες’.
[alert]Μερικές πολύ απλές κινήσεις που θα πρέπει να γίνονται κάθε φορά για την ασφάλειά σας:
– Μην αφήνετε το boarding pass σας στο αεροπλάνο
– Αποφεύγετε να πετάτε στα σκουπίδια το boarding pass ενιαίο (σκίστε το πρώτα σε πολλά μικρά κομμάτια)
– Και ιδιαίτερη προσοχή!! Μην δημοσιεύετε το boarding pass σας στα social media[/alert]
