ΔΙΑΦΗΜΙΣΗ
Διασκέδαση

Γιατί Δεν Πρέπει να Ποστάρεις Ποτέ Φωτογραφίες από Αεροπορικά Εισιτήρια στα Social Media

Όχι μόνο μπορεί να σου κοστίσει ακριβά, αλλά μπορεί να αποδειχθεί και πολύ επικίνδυνο.

Κείμενο Theresa Locker
11 Σεπτέμβριος 2017, 5:00am

Screenshot/Instagram 

Το άρθρο δημοσιεύτηκε αρχικά στο Motherboard Germany.

Με ένα γρήγορο ψάξιμο για το hashtag #boardingpass εμφανίζονται περίπου 92.000 αποτελέσματα στο Instagram. Δηλαδή, σύμφωνα με τους υπολογισμούς μας, 92.000 περισσότερα απ' όσα θα έπρεπε. Διότι, δεν υπάρχουν μόνο οι followers σου που χαίρονται με την ξέγνοιαστη ανακοίνωση του επικείμενου ταξιδιού σου. Αλλά και οι εγκληματίες που ενδιαφέρονται είτε να πλαστοπροσωπήσουν τα στοιχεία σου, χρησιμοποιώντας το όνομά σου για να πάνε κάπου αεροπορικώς, είτε να πάρουν έλεγχο του λογαριασμού σου και να προξενήσουν μεγάλη ζημιά, χάρη σε μια εικόνα της κάρτας επιβίβασής σου.

Μόνο στο πρώτο μισό του 2017 υπήρξαν τόσες περιπτώσεις πλαστοπροσωπίας, που το BBC έκανε λόγο για «επιδημία». Εκείνοι που πλήττονταν περισσότερο, όμως, δεν ήταν ανυποψίαστες γιαγιάδες που ανοίγουν ύποπτα link, αλλά 30άρηδες, οι λεγόμενοι «digital natives» (ψηφιακοί αυτόχθονες).

Αλλά πώς αποκτούν πρόσβαση οι κυβερνοεγκληματίες στις διαδικτυακές ταυτότητες των θυμάτων τους, όταν διαρκώς μας εφιστούν την προσοχή στη σημασία του να έχουμε ασφαλή password; Η απάντηση βρίσκεται στα feed μας. Πολλοί άνθρωποι δεν συνειδητοποιούν ότι ποστάροντας απερίσκεπτα στο Instagram μια φωτογραφία από εισιτήρια ή κλειδιά αυτοκινήτου, απευθύνουν ανοιχτή πρόσκληση σε εγκληματίες να δείξουν τη δημιουργικότητά τους.

O κωδικός κράτησής σου είναι ένα προσωρινό password – και όχι πολύ καλό

Το ότι ο εξαψήφιος κωδικός κράτησης, γνωστός στις αεροπορικές εταιρείες ως PNR (Passenger Name Record), είναι χρυσωρυχείο για όποιον θέλει να προχωρήσει σε πλαστοπροσωπία, το απέδειξε πέρσι ο χάκερ Karsten Nohl στο Chaos Communication Congress στο Αμβούργο.

Ο Nohl ανακάλυψε ότι το PNR δεν είναι παρά ένα πολύ κακό προσωρινό password που σου δίνουν οι αεροπορικές εταιρείες και το οποίο κυκλοφορεί ελεύθερα σε κάθε καρτελάκι αποσκευής. Όποιος ξέρει τον κωδικό κράτησής σου και το επίθετό σου, μπορεί να χρησιμοποιήσει το online check-in, για να εξασφαλίσει δωρεάν πτήσεις ή να προκαλέσει άλλου τύπου χάος.


VICE Video: Άνδρες που Είναι Παθιασμένοι με τον «Όγκο» μάς Εξηγούν τη Φιλοσοφία τους

Παρακολουθήστε όλα τα βίντεo του VICE, μέσω της νέας σελίδας VICE Video Greece στο Facebook.


Στα site μερικών αεροπορικών εταιρειών, το επίθετο του επιβάτη και η ώρα αναχώρησης είναι αρκετά για να συνδεθεί ως εγγεγραμμένος επιβάτης και να λάβει ένα αντίγραφο της κάρτας επιβίβασης. Επίσης, επειδή ζούμε σε εποχές πτήσεων με κοινό κωδικό μεταξύ των αεροπορικών εταιρειών, είναι πιθανό να χρησιμοποιήσει κάποιος το PNR, για να συνδεθεί σε πέντε και παραπάνω ιστοσελίδες αεροπορικών εταιρειών – σε αυτήν τη φάση οι εγκληματίες συνήθως πραγματοποιούν μια επίθεση με σχετική ευκολία και αποκτούν πρόσβαση σε επιπλέον προσωπικές πληροφορίες ή εξασφαλίζουν με δόλια μέσα δωρεάν πτήσεις. Το πρόβλημα έχει να κάνει με τις χειρότερες δυνατές παραμέτρους του συστήματος.

Η ιστορία πίσω από αυτού του είδους την αεροπορική υποκλοπή έχει προκαλέσει μεγάλη αναστάτωση ήδη από τις αρχές του 2017. Αλλά ως προγραμματιστής και ειδικός κυβερνοασφάλειας, ο Michal Spacek εξηγεί ότι οι αεροπορικές εταιρείες -και ιδίως οι επιβάτες- δεν φαίνεται να έχουν πάρει το μάθημά τους, μόλις οκτώ μήνες αργότερα. Σε μια ανάρτηση στο site του, δείχνει τι θα μπορούσες να κάνεις με μια γρήγορη έρευνα φωτογραφιών στα social media.

Τρία παραδείγματα για να μην ποστάρεις κάρτες επιβίβασης στα social media (με ή χωρίς κωδικό κράτησης)

Πρώτη περίπτωση

Στην πρώτη από τις τρεις μελέτες περιπτώσεων στο Instagram, ο Spacek περιγράφει ότι όχι μόνο ανακάλυψε πού βρισκόταν ένας φίλος που είχε πάει διακοπές στο Χονγκ Κονγκ, αλλά και πώς μπορούσε να τον παγιδεύσει, ώστε να θεωρηθεί διεθνώς καταζητούμενος εγκληματίας. Μπορούσε να το κάνει, επειδή ο φίλος του είχε φωτογραφίσει την κάρτα επιβίβασής του δίπλα στο smparthphone και τα ηχεία του.

Με τη φωτογραφία του ευδιάκριτου κωδικού κράτησης, ο Spacek μπορούσε να συνδεθεί στο on line check-in της British Airways και να δει ότι ο φίλος του είχε καταχωρήσει όλες τις σημαντικές πληροφορίες του –ανάμεσά τους την ημερομηνία γέννησης και τον αριθμό διαβατηρίου- πριν από την αναχώρησή του.

Για να του κάνει πλάκα, το μόνο που χρειαζόταν να κάνει ήταν να πείσει το site ότι ο φίλος του προσπαθούσε να αλλάξει τα στοιχεία του. Επειδή δεν είχε τον αριθμό διαβατηρίου του θύματος ακόμη, το site έχει την καλοσύνη να του δώσει την επιλογή να βάλει την ημερομηνία γέννησής του. Αυτό ήταν: Στην περίπτωση αυτού του θύματος, η συγκεκριμένη πληροφορία δεν υπήρχε μόνο στο αρχείο της αεροπορικής εταιρείας, αλλά και στο Facebook. Ο Spacek πλέον μπορούσε να αλλάξει τα δεδομένα κατά βούληση – για παράδειγμα να αλλάξει τον αριθμό του διαβατηρίου με τον αριθμό διαβατηρίου, για παράδειγμα, ενός τρομοκράτη που υπήρχε στη βάση δεδομένων της Ιντερπόλ.

Στους χρήστες του Instagram αρέσει να δημοσιοποιούν τις πτήσεις τους, αλλά η ποιότητα των φωτογραφιών σπάνια είναι τόσο κακή όσο αυτή. Screenshot από το Instagram

Δεύτερη περίπτωση

Κάποια –ας την πούμε Anna- προσπαθεί να προφυλαχθεί στο Instagram, σβήνοντας το επίθετό της στη φωτογραφία της κάρτας επιβίβασης, προτού την ανεβάσει. Αλλά αυτό δεν λέει και τίποτα, εφόσον ο Aztec Code είναι ακόμη ορατός. Σε αυτήν την περίπτωση ο Spacek θα χρειαζόταν απλώς μια εφαρμογή, όπως η Barcode Scanner, για να ανακτήσει το πλήρες όνομα της επιβάτιδας. Αυτός ο φοβερός συνδυασμός του δίνει –ανάλογα με το επίπεδο ασφάλειας της αεροπορικής εταιρείας- τις ίδιες επικίνδυνες ευκαιρίες, όπως και η πρώτη περίπτωση.

Τρίτη περίπτωση

Τρίτη περίπτωση: Ένας τύπος –σε αυτήν την περίπτωση, ο ιδρυτής μιας διάσημης startup- ανεβάζει μια φωτογραφία του smartwatch του όπου υπάρχει ο Aztec Code του, αντί για την κάρτα επιβίβασης. Ο Spacek μπόρεσε να τη σκανάρει όπως και προηγουμένως και ξεκλείδωσε κάτι ακόμη πιο πολύτιμο: Τον αριθμό τακτικού επιβάτη, που συνήθως η αεροπορική εταιρεία προστατεύει πάση θυσία.

Με τη βοήθεια αυτού του αριθμού και πληροφοριών που υπήρχαν δημόσια, ο Spacek απλώς έπρεπε να απαντήσει δύο γελοίες ερωτήσεις στη United Airlines, για να δημιουργήσει αμέσως νέο password για τον λογαριασμό του θύματος – τζακπότ δηλαδή, επειδή από εκεί και πέρα μπορούσε να βρει άλλες σημαντικές πληροφορίες, όπως πληροφορίες πληρωμών, κρατήσεις και διευθύνσεις, καθώς και μια-δυο δωρεάν πτήσεις. Απ' όταν ο Spacek παρουσίασε το hack του, η United Airlines έχει βάλει μια επιπλέον ρύθμιση ασφάλειας για την αλλαγή password. Αλλά μέχρι πρόσφατα, μπορούσε να έχει υποκλέψει την ταυτότητα του ιδρυτή και να τον κλειδώσει από τον λογαριασμό του.

Μα, θέλω να δείξω σε όλους που θα πάω!

Μπορείς, αρκεί να μη δείχνεις ονόματα, κωδικούς κράτησης, ημερομηνίες και το barcode. Είναι πολύ πιο έξυπνο να μαυρίζεις τις ευαίσθητες πληροφορίες από το να τις θολώνεις, επειδή τα πίξελ, με τα σωστά προγράμματα και υπό κατάλληλες συνθήκες, μπορούν να επανέλθουν στην αρχική μορφή, αποκαλύπτοντας ακριβώς αυτό που προσπαθείς να κρύψεις.

Ακόμη κι αν δεν είναι πιθανό, όταν αφορά κείμενο και αριθμούς, το ασφαλέστερο είναι να τα σβήνεις με μια μαύρη γραμμή, για να μη δώσεις την ευκαιρία στους επίδοξους δράστες να ενώσουν τα υπολείμματα πληροφοριών. Είναι πιο ασφαλές να μη δίνεις καμιά πληροφορία παρά θραύσματα πληροφοριών.

Πολλοί ξεχνούν ότι αυτό δεν αφορά μόνο τις φωτογραφίες, αλλά και τα πραγματικά έντυπα εισιτήρια και τις κάρτες επιβίβασης. Αντί να τα αφήνεις όπου να 'ναι στο αεροπλάνο, είναι καλύτερα να τα πετάς μετά τη χρήση – ακόμη καλύτερα να τα σκίζεις. Αν θες να πας στο επόμενο επίπεδο παράνοιας, πάρε έναν καταστροφέα εγγράφων ή πέτα τα κομματάκια σε διαφορετικούς κάδους, όταν φτάσεις στον προορισμό σου. Στις περισσότερες περιπτώσεις, όμως, αρκεί ένα πράγμα: μην ποστάρεις τις κάρτες επιβίβασής σου στο Ίντερνετ. Άλλωστε, οι φωτογραφίες από το παράθυρο του αεροπλάνου είναι πιο ωραίες.

Περισσότερα από το VICE

Ο Αλβανός Oπαδός με το Drone που Λίγο Έλειψε να Βάλει Φωτιά στα Βαλκάνια

Πώς Είναι να Ζεις με μια Σπάνια Μετάλλαξη στο Πρόσωπο

Οι Δέκα Καλύτερες Ταινίες για το Υπόλοιπο του 2017

Ακολουθήστε το VICE στο Twitter, Facebook και Instagram.