- 原文地址:Post a boarding pass on Facebook, get your account stolen
- 原文作者:Michal Špaček
- 译文出自:掘金翻译计划
- 本文永久链接:github.com/xitu/gold-m…
- 译者:lampui
- 校对者:Tina92、 zhangqippp
假期正在火热地进行中,当你想要晒晒自己去了哪儿的时候,留心自己发上 Facebook 或 Instagram 的信息。登机牌(或其他有条码的票据)自己留着(或者用碎纸机处理掉)。
一趟前往香港的旅行
我认识 Petr Mára 好几年了,他是一个很友好的人,同时他也是一位演讲者、训练者、视频主播及 IOS & macOS 的发烧友。他还很爱去旅行,在 2016 年 5 月,他就带着她妻子一起去了趟香港庆祝她的生日,但 Petr 没有说他们会去多久,当然,我最后还是知道了!在 Petr 还没飞的时候,他发了一条动态,这条动态上面有一个带着订单号 YJVFKG 和一些条码的登机牌,就是那一刻,我知道了他要在香港呆多久。一般而言,你最好别公开任何印有订单号、二维码或条码的登机牌、票据。
Petr Mára 发的这条动态
这趟航班从伦敦起飞,大概要飞 12 个小时,所以他们只待 5 天?只要上英国航空公司官网,并在右边的输入框输入他的订单号,然后你就可以找到 Petr 在香港的起降机场了。提交了订单号之后我才发现,除了其他事情之外,Petr 已经把所需的数据都填好了。也不奇怪,他人都在香港了。然后下面有一个 View or change details 的红色按钮。你应该懂的,你看到一个红色按钮,你就要点它,所以我点了。
航空公司登录页面
所需数据已完整
航空公司想认证修改信息的是我 Petr,我可以输入他的护照号码或生日,但我(目前)不知道。在 Petr 的 Facebook 个人主页有他的生日,这在捷克共和国的 Business Register 或Trade Register也是公开的。每个人的生日其实都算是公开的秘密啦!在交易商和自由职业者的增值税税收 id 上也可以找到一个人的生日,所以生日不算什么秘密。
Petr 的详细信息
最终,我找到了他的护照号码!我甚至可以修改它!酷!我可以令 Pter 和 他妻子在香港庆祝生日得更久一点。只需输入一个国际通缉犯或是其他什么的护照号码。
我没有修改任何信息,并把这件事告诉了 Petr。我向他道了歉,因为我试着猜测他妻子的生日而令他在接下来的 24 小时以内不能访问他的预订页面。当然啦,之后我谷歌到了他妻子的生日。非常感谢 Petr 知道这件事后还是对我这么友好!5 个月后,从他下一条发有登机牌的朋友圈就知道,Petr 已经上了一堂课 — 订单号或条码都要打码。
更多 Facebook 和 Instagram 的照片
你能在 Facebook 或 Instagram 发现大量的登机牌照片。有些旅客试着聪明点,于是将他(她)们的名字或其他信息打码,然而一些条码却赤裸裸的,像下面这位叫 Anna 的女士。
Instagram 中的随机条码
Anna 的全名叫 Anna Ferenčáková,在 2017 年 4 月,她从布拉格飞往塞尔维亚的首都 — 贝尔格莱德。你扫了那张照片上的条形码就能知道这些信息了!条码也可以在“遗落”于飞机上的登机牌或其他地方被找到。
扫描后的条码信息
随着越来越多的人使用“智能”设备,登机牌上的条码也可以在智能手表中被找到,下面是一个能在某人的 iWatch 上显示登机牌的所谓的 Aztec 二维码。这个二维码包含了跟传统纸质登机牌一样的(或类似的)信息,但这些信息在一个智能手表上,你就不需要打印你的登机牌,你要做的就是在过关的时候伸出手去扫一扫就行了,未来已来。
智能手表上的 Aztec 二维码
这只手(和手表)是 Stephen Fenech 的,这张照片是拍在他从旧金山去往纽约的途中。我们又一次知道了这些信息,因为我们扫了 Aztec 二维码。我们可以通过阅读这篇关于在"智能"手表上使用登机牌的陷井,你的手腕 – 只是不适合一些扫描仪。在 Aztec 二维码还有一项重要的信息:一个代表该旅客是频繁飞行旅客的号码。Fenech 先生的这个号码是 4708760。
扫描后的 Aztec 二维码
盗号
当在 Facebook 搜索登机牌的时候,我找到了一张有 Aztec 二维码的照片,这张照片是一个匿名男子拍的。他在某个圈子很有名,Twitter 上大概有 120,000 名的粉丝,在欧洲和美国也有些背景。这个二维码包含了他在联合航空公司的频繁飞行旅客号码。这间航空公司对待这些号码就像对待高级秘密访问口令。如果他们需要将这些号码打印到官方文件,他们只会显示最后 3 位数字,而其他位则会隐蔽,就像密码那样。在 Aztec 二维码中扫出来的频繁飞行旅客号码是完整的,当然,所以我在想利用它并黑进那个人的账户。为什么不黑呢,对吧,这应该不会那么简单。
所以我上了联合航空公司的官网,选择了忘记密码,然后输入从 Aztec 二维码得来的名字和号码,接着用了几秒时间回答了 2 个安全问题:“你访问的第一个大城市?”和“你最喜爱的冬季运动?”,第一个问题的答案就是那个人的出生地,第二个问题的答案在高山国家的话肯定不是高尔夫。系统无误地将我认定为账号的真实主人,然后我可以给他的账号设置一个新密码。更新 8 月 25 日:这件事情发生在 2016 年 6 月,联合航空公司已经加多了一项保护措施,他们会要求用户点击一条发送到用户邮箱里的修改密码链接,看来我现在能发送这样的电子邮件了。
创建新密码
我没有设置一个新密码,我并不想给任何人带来麻烦。我发了一条消息给那个人,就像我发了条消息给 Petr Mára 一样。他已经在 Facebook(但 Twitter 上还在)删除了那张含有 Aztec 二维码的照片。但他不信我可以劫持他的账户,他以为联合航空公司网站会发个新密码给他。
经过一番简单的解释之后,他懂了! Oh shit,你是对的!你可以把密码给改了!这简直就是疯了!没错,确实是这样。就因为他上传了他的登机牌,我可以盗他的号!也许未来的买卖会有储蓄支付卡,又或者我可以令他在某个地方卡死。
别公开任何含有代码的图片
用户通常会不经意间公开一些在他(她)们眼里没有价值的数据,因为在第一眼看来,不太可能看出这些数据隐含着什么信息或者有什么用。某些人可能会觉得在某些地方有用。最坏情况下,还是有可能被盗号的。所以对你需要上传或公开的数据还是要留点心好。当你想上传到 Facebook 但又不确定照片或截图中有什么数据时,你可以用一个黑色的矩形或者任意其他你喜欢的形状(单单模糊化可能还不够)掩盖它,又或者干脆就别发布了。当创建安全认证问题的时候,你要学会撒谎。你可以用密码管理工具“记住”你的答案,就像记住你的密码那样,还有就是别把你的登机牌留在飞机上。
这篇文章是基于我在 CZ domain registry 的演讲(在捷克)。
推荐阅读
- 登机牌的条码上面有什么?很多,作者 Brian Krebs.
- Carmen Sandiego 在世界的哪里?,一个由 Karsten Nohl 和 Nemanja Nikodijevic 进行的 33C3 演讲
更新
8.25 当重置联合航空公司密码时需要额外操作
Michal Špaček
我构建 web 应用程序并且关心 web 应用程序安全,我乐于分享安全方面的开发。我的职责是教授 web 开发者如何构建安全且快速的 web 应用程序及其原因。
