开发者社区> 行者武松> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

乱晒登机牌很可能导致你的账户信息被盗用

简介:
+关注继续查看

假期里的每一天都是宝贵的,如果你打算坐飞机去哪儿旅游的话,你很可能会在机场先晒一波登机牌,但是当你准备把它晒到社交平台(例如Facebook、Instagram和微博)的话,我建议你先考虑清楚。

一次去往香港的旅行

我认识Petr Mara已经很多年了,他是一个非常nice的人。他不仅是一名演说家、培训师和视频主播,而且他还是一名iOS&macOS开发人员。除此之外,他也很喜欢旅游。他和他的老婆在2016年5月份曾去往香港庆祝他老婆的生日,但Petr并没有告诉我他准备去多久。但是出于好奇心我得想办法知道他要去多久,而我在他晒出的登机牌(飞机起飞前发在了Instagram)上发现了客票订单号YJVFKG以及一个条形码。

这架从伦敦起飞的航班到香港大约要12个小时,为了弄清楚Petr的返程日期,我可以先上英国航空的官网搜索一下这个客票号。打开搜索页面之后,我看到了一个“碍眼”的红色按钮,你知道的,每当你看到红色的按钮,你想办法点一下总是没错的。于是填写好相关信息之后,我点击了这个红色按钮。

英国航空需要确定是Petr本人正在尝试修改信息,而我可以直接输入他的护照号或生日,虽然我不知道他的护照号,但我可以在他的Facebook资料中找到他的生日以及捷克共和国的商业登记表。相对其他信息来说,生日一般可以算是某种公开信息了,,而且生日也可以反映在税号或商业登记表的VAT编号上,因此它并不能算是什么秘密。

最终,我找到了他的护照号!而且我甚至还可以修改它。这样一来,我就可以想办法让Petr在香港再多呆几天了。我可以把他的护照号改成某个全球通缉的罪犯的护照号,但我并没有这样做。我把这一切告诉了Petr,而且我还跟他道了歉,因为我的操作让他在24小时之内都无法访问航空公司的订票页面了(因为我曾尝试猜测他老婆的生日)。不过还好,Petr原谅了我。不过这也给他上了一课:当你想晒登机牌的时候,该打码的地方一定要打码!

社交平台上随处可见的登机牌

你可以在很多社交平台上找到大量的登机牌照片,有些人会自作聪明地给自己的名字和其他信息打码,但登机牌上的二维码他们却置之不理。比如说下面这个例子,这个登机牌属于一位名叫Anna的年轻姑娘:

Anna的全名是Anna Ferencakova,这张登机牌是她当初在2017年4月份从布拉格到塞尔维亚的贝尔格莱德所用的,这一切当你扫描了上面的条形码之后你自然就知道了。

由于现在越来越多的人开始使用各种智能设备,条形码或二维码甚至可以直接在智能手表上直接显示,下面这张图片显示的是一张登机牌上的Aztec code(一种二维码),这种图码中包含的信息与以前纸质版登机牌上的信息是一样的,但是有了智能手表,你就不需要再打印纸质登机牌了,你只需要在登机时伸手扫描一下就可以了,这就是高科技…

这个手表是Stephen Fenech的,他当时是从旧金山直飞纽约。跟刚才一样,我也是扫了他的Aztec code才知道的。Aztec code中还包含一个非常重要的信息:即飞行常旅客编号。Fenech先生的美国航空常旅客编号为4708760。关于登机牌的更多内容,大家还可以参考《智能手表与登机牌的陷阱》。

  窃取账号

在社交平台上搜索登机牌时,我发现了一个Aztec code,这个登机牌是一个男性乘客发出来的(部分信息已打码)。他在某个特定领域内算是个名人,而且Twitter有12万多的粉丝。图片中的二维码包含了他的美联航常旅客编号。而美联航会将这种常旅客号当成一种超级访问密码,一般他们在官方信件上打印这种号码时都只会打印最后三位数字,剩余部分则不会打印出来(像密码一样用*代替)。当然了,Aztec code中显示的是完整的飞行常旅客号,所以我觉得可以用这个编号来入侵这个人的账号。

所以我进入了美联航的官网,选择了“忘记密码”,然后输入了姓名和Aztec code中包含的飞行常旅客号。接下来的两个安全问题也是比较简单的:“你去过的第一个大城市”就是他的出生地,而“你最喜欢的冬季活动”在阿尔卑斯山区肯定也不会是高尔夫。系统识别成功之后,我就可以给他的账号设置一个新的密码了。

其实我并没有设置新的密码,因为我也不想给他人带来不必要的麻烦。但我像之前一样,我也给这个人发了一条信息,并提醒他以后晒登机牌的时候一定要注意。

任何带有条码的图片都不要晒!

很多人在发一条状态或者照片时,他们其实往往都不知道这种行为意味着什么。因为一眼看过去,其实你并看不出什么有价值的内容,但是你所认为没价值的东西在某些人眼里就是非常有价值的。所以当你想要在社交平台上晒什么东西之前,一定要考虑清楚,该打码的地方一定要打码。不过友情提醒一下,马赛克也许根本救不了你…


本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云子账号(RAM用户)使用人工智能产品相关授权示例
访问控制RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务,使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享阿里云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。在使用RAM用户(子账号)调用相应API前,需要阿里云账号(主账号)对RAM账号进行相应授权。但是客户在第一次使用过程中往往看到权限问题不知如果解决,更不懂怎么进行授权操作等一系列问题。本文简单介绍在一些服务如何为RAM用户授权。
347 0
使用 DML语句针对仓库管理信息系统,进行查询操作
使用 DML语句针对仓库管理信息系统,进行查询操作
40 0
查看私有定制RDS实例信息
本文介绍如何查看私有定制RDS的基本信息和配置信息。 前提条件 进行私有RDS管理之前,您需要先购买私有定制RDS实例,详情请参见步骤二:在私有定制RDS实例之上构建PolarDB-X 1.0数据库。
81 0
阿里云双11活动介绍:香港云服务器1核1G低至119元,现在就可以申请啦
阿里云双11活动介绍:香港云服务器1核1G低至119元,现在就可以申请啦
662 0
搞大啦!精灵云与全球最大孵化器PNP带你一起飞
Ghostcloud精灵云是国内首批从事容器虚拟化研发的企业,其产品企业级容器云PaaS/CaaS平台EcOS,与微服务/DevOps相融合,运用至企业IT系统全生命周期的开发、测试、运维及发布流程中。
9821 0
Qualcomm DragonBoard 410c开发板试用活动开箱照片
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/xmt1139057136/article/details/78247915 最近我参加了CSDN举办的《Qualcomm DragonBoard 410c开发板试用活动》。
784 0
+关注
行者武松
杀人者,打虎武松也。
文章
问答
文章排行榜
最热
最新
相关电子书
更多
代码未写,漏洞已出
立即下载
阿里小号隐私保护
立即下载
代码未写,漏洞已出——谈谈设计不当导致的安全问题
立即下载