[译] 在 Facebook 发一张登机牌,你就有可能被盗号了-阿里云开发者社区

开发者社区> 玄学酱> 正文

[译] 在 Facebook 发一张登机牌,你就有可能被盗号了

简介: 本文讲的是[译] 在 Facebook 发一张登机牌,你就有可能被盗号了,假期正在火热地进行中,当你想要晒晒自己去了哪儿的时候,留心自己发上 Facebook 或 Instagram 的信息。登机牌(或其他有条码的票据)自己留着(或者用碎纸机处理掉)。
+关注继续查看
本文讲的是[译] 在 Facebook 发一张登机牌,你就有可能被盗号了,

假期正在火热地进行中,当你想要晒晒自己去了哪儿的时候,留心自己发上 Facebook 或 Instagram 的信息。登机牌(或其他有条码的票据)自己留着(或者用碎纸机处理掉)。

一趟前往香港的旅行

我认识 Petr Mára 好几年了,他是一个很友好的人,同时他也是一位演讲者、训练者、视频主播及 IOS & macOS 的发烧友。他还很爱去旅行,在 2016 年 5 月,他就带着她妻子一起去了趟香港庆祝她的生日,但 Petr 没有说他们会去多久,当然,我最后还是知道了!在 Petr 还没飞的时候,他发了一条动态,这条动态上面有一个带着订单号 YJVFKG 和一些条码的登机牌,就是那一刻,我知道了他要在香港呆多久。一般而言,你最好别公开任何印有订单号、二维码或条码的登机牌、票据。

英国航空公司登机牌英国航空公司登机牌

Petr Mára 发的这条动态

这趟航班从伦敦起飞,大概要飞 12 个小时,所以他们只待 5 天?只要上英国航空公司官网,并在右边的输入框输入他的订单号,然后你就可以找到 Petr 在香港的起降机场了。提交了订单号之后我才发现,除了其他事情之外,Petr 已经把所需的数据都填好了。也不奇怪,他人都在香港了。然后下面有一个 View or change details 的红色按钮。你应该懂的,你看到一个红色按钮,你就要点它,所以我点了。

British Airways login formBritish Airways login form

航空公司登录页面

Petr's advance information is completePetr's advance information is complete

所需数据已完整

航空公司想认证修改信息的是 Petr,我可以输入他的护照号码或生日,但我(目前)不知道。在 Petr 的 Facebook 个人主页有他的生日,这在捷克共和国的 Business Register 或Trade Register也是公开的。每个人的生日其实都算是公开的秘密啦!在交易商和自由职业者的增值税税收 id 上也可以找到一个人的生日,所以生日不算什么秘密。

Petr Mára's detailsPetr Mára's details

Petr 的详细信息

最终,我找到了他的护照号码!我甚至可以修改它!酷!我可以令 Pter 和 他妻子在香港庆祝生日得更久一点。只需输入一个国际通缉犯或是其他什么的护照号码。

我没有修改任何信息,并把这件事告诉了 Petr。我向他道了歉,因为我试着猜测他妻子的生日而令他在接下来的 24 小时以内不能访问他的预订页面。当然啦,之后我谷歌到了他妻子的生日。非常感谢 Petr 知道这件事后还是对我这么友好!5 个月后,从他下一条发有登机牌的朋友圈就知道,Petr 已经上了一堂课 — 订单号或条码都要打码。

更多 Facebook 和 Instagram 的照片

你能在 Facebook 或 Instagram 发现大量的登机牌照片。有些旅客试着聪明点,于是将他(她)们的名字或其他信息打码,然而一些条码却赤裸裸的,像下面这位叫 Anna 的女士

Boarding passBoarding pass

Instagram 中的随机条码

Anna 的全名叫 Anna Ferenčáková,在 2017 年 4 月,她从布拉格飞往塞尔维亚的首都 — 贝尔格莱德。你扫了那张照片上的条形码就能知道这些信息了!条码也可以在“遗落”于飞机上的登机牌或其他地方被找到。

Barcode Scanner screenshotBarcode Scanner screenshot

扫描后的条码信息

随着越来越多的人使用“智能”设备,登机牌上的条码也可以在智能手表中被找到,下面是一个能在某人的 iWatch 上显示登机牌的所谓的 Aztec 二维码。这个二维码包含了跟传统纸质登机牌一样的(或类似的)信息,但这些信息在一个智能手表上,你就不需要打印你的登机牌,你要做的就是在过关的时候伸出手去扫一扫就行了,未来已来。

Aztec code in a smart watch app on a handAztec code in a smart watch app on a hand

智能手表上的 Aztec 二维码

这只手(和手表)是 Stephen Fenech 的,这张照片是拍在他从旧金山去往纽约的途中。我们又一次知道了这些信息,因为我们扫了 Aztec 二维码。我们可以通过阅读这篇关于在"智能"手表上使用登机牌的陷井,你的手腕 – 只是不适合一些扫描仪。在 Aztec 二维码还有一项重要的信息:一个代表该旅客是频繁飞行旅客的号码。Fenech 先生的这个号码是 4708760

Barcode Scanner screenshotBarcode Scanner screenshot

扫描后的 Aztec 二维码

盗号

当在 Facebook 搜索登机牌的时候,我找到了一张有 Aztec 二维码的照片,这张照片是一个匿名男子拍的。他在某个圈子很有名,Twitter 上大概有 120,000 名的粉丝,在欧洲和美国也有些背景。这个二维码包含了他在联合航空公司的频繁飞行旅客号码。这间航空公司对待这些号码就像对待高级秘密访问口令。如果他们需要将这些号码打印到官方文件,他们只会显示最后 3 位数字,而其他位则会隐蔽,就像密码那样。在 Aztec 二维码中扫出来的频繁飞行旅客号码是完整的,当然,所以我在想利用它并黑进那个人的账户。为什么不黑呢,对吧,这应该不会那么简单

所以我上了联合航空公司的官网,选择了忘记密码,然后输入从 Aztec 二维码得来的名字和号码,接着用了几秒时间回答了 2 个安全问题:“你访问的第一个大城市?”和“你最喜爱的冬季运动?”,第一个问题的答案就是那个人的出生地,第二个问题的答案在高山国家的话肯定不是高尔夫。系统无误地将认定为账号的真实主人,然后我可以给他的账号设置一个新密码。更新 8 月 25 日:这件事情发生在 2016 年 6 月,联合航空公司已经加多了一项保护措施,他们会要求用户点击一条发送到用户邮箱里的修改密码链接,看来我现在能发送这样的电子邮件了。

United Airlines password reset pageUnited Airlines password reset page

创建新密码

我没有设置一个新密码,我并不想给任何人带来麻烦。我发了一条消息给那个人,就像我发了条消息给 Petr Mára 一样。他已经在 Facebook(但 Twitter 上还在)删除了那张含有 Aztec 二维码的照片。但他不信我可以劫持他的账户,他以为联合航空公司网站会发个新密码给他。

经过一番简单的解释之后,他懂了! Oh shit,你是对的!你可以把密码给改了!这简直就是疯了!没错,确实是这样。就因为他上传了他的登机牌,我可以盗他的号!也许未来的买卖会有储蓄支付卡,又或者我可以令他在某个地方卡死

别公开任何含有代码的图片

用户通常会不经意间公开一些在他(她)们眼里没有价值的数据,因为在第一眼看来,不太可能看出这些数据隐含着什么信息或者有什么用。某些人可能会觉得在某些地方有用。最坏情况下,还是有可能被盗号的。所以对你需要上传或公开的数据还是要留点心好。当你想上传到 Facebook 但又不确定照片或截图中有什么数据时,你可以用一个黑色的矩形或者任意其他你喜欢的形状(单单模糊化可能还不够)掩盖它,又或者干脆就别发布了。当创建安全认证问题的时候,你要学会撒谎。你可以用密码管理工具“记住”你的答案,就像记住你的密码那样,还有就是别把你的登机牌留在飞机上。

这篇文章是基于我在 CZ domain registry 的演讲(在捷克)。

推荐阅读

更新

8.25 当重置联合航空公司密码时需要额外操作

Michal Špaček

我构建 web 应用程序并且关心 web 应用程序安全,我乐于分享安全方面的开发。我的职责是教授 web 开发者如何构建安全且快速的 web 应用程序及其原因。






原文发布时间为:2017年9月28日

本文来自云栖社区合作伙伴掘金,了解相关信息可以关注掘金网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
6896 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
2827 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4477 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7748 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5454 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9423 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
2133 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
17436
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载