Dacă pui poze cu biletul de avion pe Facebook, s-ar putea să rămâi fără el

Dacă dai o căutare după #boardingpass pe Instagram, o să găseşti în jur de 92 000 de rezultate. Adică cu 92 000 mai mult decât ar trebui. Asta fiindcă nu doar followerii tăi se bucură de anunţul tău că urmează să pleci într-o călătorie sau în vacanţă. Infractorii care vor să-ţi fure identitatea, să se folosească de numele tău pentru a ajunge undeva cu avionul sau vor să-ţi fure contul pot provoca multe daune dacă au o poză cu tichetul tău de îmbarcare.

Numai în prima jumătate a anului 2017 au existat atât de multe cazuri de furt de identitate, încât BBC a catalogat fenomenul drept o „epidemie." Cel mai afectat grup de vârstă n-a fost, după cum te-ai aştepta, cel al bunicuţelor neştiutoare care dau click pe linkuri dubioase, ci mai degrabă oameni în jur de 30 de ani, care au crescut cu tehnologia sub nas.

Dar cum de accesează hackerii identitatea online a victimelor când toată lumea ştie cât de important e să ai o parolă sigură? Răspunsul stă în ceea ce postăm pe reţelele sociale. Mulţi nu-şi dau seama că o poză pe Instagram cu biletul de avion sau chiar cheile de la maşină e o invitaţie pentru infractori să-şi pună în aplicare abilităţile creative.

Codul acela din şase cifre, sau PNR (Passenger Name Record), cum îi zic companiile aeriene, e o mină de aur pentru furtul de identitate, după cum a demonstrat hackerul Karsten Nohl anul trecut la Congresul „Chaos Communication" de la Hamburg, Germania.

Nohl a descoperit că acest cod e o parolă temporară slabă pe care ţi-o dau companiile aeriene şi care apare la vedere pe eticheta bagajului. Oricine-ţi ştie codul şi numele de familie poate folosi portalul de check-in online al companiei aeriene să obţină zboruri gratuite sau poate provoca tot felul de alte probleme.

Pe site-urile unor companii aeriene, e de ajuns să ai numele de familie al pasagerului şi ora zborului ca să te loghezi şi să obţii o copie a tichetului de îmbarcare. Şi pentru că zborurile codeshare sunt la ordinea zilei, poţi folosi acelaşi cod de rezervare să te loghezi pe cinci sau mai multe site-uri ale companiilor aeriene, moment în care infractorii pot obţine cu uşurinţă mai multe date personale sau pot obţine zboruri gratuite în mod fraudulos. E pur şi simplu vorba de cea mai proastă configuraţie posibilă.

Povestea din spatele acestui gen de furt a făcut furori la începutul anului. Dar, aşa cum explică dezvoltatorul şi expertul în securitate cibernetică Michal Spacek, companiile aeriene şi mai ales pasagerii nu par să fi învăţat mare lucru în cele opt luni care au trecut de atunci. Într-o postare pe site-ul lui, Spacek explică toate lucrurile pe care le poţi face dacă dai o simplă căutare după imagini pe reţele sociale.

În primul dintr-o serie de trei studii de caz de pe Instagram, Spacek descrie cum şi-a localizat un amic plecat în vacanţă în Hong Kong şi cum ar fi putut să-l pună pe lista infractorilor căutaţi internaţional. A putut face asta deoarece amicul lui Spacek postase o poză în care îşi aranjase frumos tichetul de îmbarcare lângă telefon.

Cum codul de rezervare era perfect vizibil în poză, Spacek s-a putut loga pe site-ul British Airways, unde amicul lui îşi introdusese datele personale importante, inclusiv data naşterii şi numărul paşaportului, înainte de zbor.

Ca să-i facă o farsă, Spacek trebuia doar să convingă site-ul că amicul lui e cel care vrea să modifice datele personale. Neavând numărul paşaportului victimei, site-ul i-a dat opţiunea să introducă data naşterii. Bingo! În cazul amicului său, data naşterii nu se afla doar în baza de date a companiei aeriene, ci era şi publică pe Facebook. Spacek putea astfel să modifice datele personale după bunul plac şi chiar să schimbe numărul paşaportului cu cel al unui terorist înregistrat în baza de date a Interpolului.

Al doilea caz. O tipă, să-i zicem Anna, încearcă să se protejeze pe Instagram acoperindu-şi numele de familie de pe tichetul de îmbarcare înainte să posteze fotografia. Dar asta nu ajută cu nimic atâta timp cât codul Aztec e perfect vizibil. În cazul ăsta, Spacek poate folosi o aplicaţie gen „Barcode Scanner" să-i afle numele complet. Combinaţia asta, în funcţie de nivelul de securitate al companiei aeriene, îi deschide aceleaşi posibilităţi ca şi în primul caz.

Al treilea caz. Un tip, întâmplător chiar fondatorul unui startup destul de cunoscut, postează o fotografie cu smartwatch-ul lui care arată un cod Aztec în loc de tichetul de îmbarcare. Spacek a putut scana codul ca şi în cazul precedent şi a dat peste ceva şi mai valoros: codul de pasager frecvent al tipului, pe care companiile aeriene îl protejează de obicei cu sfinţenie.

Cu ajutorul acestui cod şi al datelor personale care erau publice, Spacek mai trebuie doar să răspundă la două întrebări ridicol de simple pe site-ul United Airlines ca să schimbe parola contului victimei. Ăsta e potul cel mare, fiindcă apoi are acces la alte informaţii relevante, gen date despre plăţi, rezervări, adrese şi poate obţine şi două-trei zboruri gratuite. De când a demonstrat Spacek asta, United a întărit securitatea la schimbarea parolelor. Dar până de curând, ar fi putut să-i fure identitatea tipului şi să-i blocheze accesul la cont.

N-ai decât, atâta timp cât nu postezi nume, coduri de rezervare, datele zborului şi coduri de bare. E mai bine să acoperi complet informaţiile sensibile decât să le blurezi, fiindcă pixelii, în condiţiile potrivite şi cu programele potrivite, pot fi readuşi la forma iniţială şi vor arăta fix ceea ce încerci să ascunzi.

Chiar dacă e puţin probabil, când vine vorba de litere şi cifre, e mai bine să tragi o bară neagră peste decât să dai infractorilor posibilitatea să descifreze informaţiile.

Multă lume uită că asta nu se aplică doar la fotografii, ci şi la biletele şi tichetele de îmbarcare tipărite. În loc să le laşi în avion, e mai bine să le distrugi după ce le-ai folosit. Cel mai bine e să le rupi în bucăţi. Dacă eşti mai paranoic, bagă-le într-un tocător de documente sau aruncă bucăţile rupte în mai multe coşuri de gunoi când ajungi la destinaţie. Dar în cele mai multe cazuri, e suficient să nu-ţi postezi tichetul de îmbarcare pe net. Mai bine pui o poză făcută prin geamul avionului.

Sigur că eşti mândru de maşina ta. Poate e nouă şi poate a costat o grămadă de bani şi vrei să arăţi lumii întregi cum cheia libertăţii tale se află pe masă lângă pâinea prăjită cu avocado. Dar cheile tale n-au ce căuta pe Facebook, Twitter sau Instagram.

Asta fiindcă nu e aşa de greu să faci o copie exactă pe calculator, trecând contururile şi umbrele din poză printr-un program 3D. Softul CAD, de exemplu, poate reconstitui formele prezente în fotografii, care apoi sunt convertite în fişiere Flash, în timp ce hackerul porneşte imprimanta 3D şi alege culorile pentru dublura cheii tale. Infractorul poate afla unde ai maşina sau unde stai cu ajutorul geolocalizării şi altor informaţii uşor de aflat de pe reţelele sociale. O jumătate de oră mai târziu, dublura e gata şi, de cele mai multe ori, asta e destul ca să rămâi fără maşină.

Dar dacă chiar vrei să-ţi postezi cheile pe net, nici măcar nu trebuie să te pricepi la Photoshop. Ţine-le de partea de jos sau ascunde-o, ca să nu poată fi copiate. Sau mai bine pune o poză cu maşina decât informaţiile necesare, să poată fi furată.