Publique seu cartão de embarque no Facebook e tenha sua conta roubada

Feriados de fim de ano são movimentados. Quando você quiser se gabar do destino de sua viagem, tenha cuidado com o que publica no Facebook e no Instagram. Deixe seu cartão de embarque (e outros códigos de barra) para você mesmo.

Uma viagem para Hong Kong

Eu conheço Petr Mára há alguns anos, ele é um cara legal. Ele ministra palestras, cursos, tem um vlog e instala sistemas iOS e macOS onde for possível. Ele também ama viajar. Ele e sua esposa foram a Hong Kong para celebrar o aniversário dela em Maio de 2016, mas Petr não disse por quanto tempo eles gostariam de curtir a cidade. E é claro eu tinha que saber. Foi neste momento em que eu percebi que havia um rastreador com código YJVFKG e outros códigos de barras no cartão de embarque publicado por Petr no Instagram antes de decolarem. É melhor você não publicar informações sobre seus voos ou qualquer outros códigos de barras da sua passagem ou de qualquer ticket em geral.

O voo de Londres a Hong Kong dura aproximadamente 12 horas, então uns cinco dias? Para encontrar a data de volta de Peter, o que eu precisava fazer era apenas visitar o site da British Airways e inserir alguns dados da reserva. Após indicar o código rastreador eu descobri, entre outras coisas, que Petr tinha todos os dados pessoais preenchidos corretamente. Nada surpreendente, ele já estava em Hong Kong. No site da British Airways havia  um botão vermelho para visualizar ou alterar detalhes. Sabe como é, se você ver um botão vermelho, você tem que clicar. Então cliquei.

 

A companhia aerea queria verificar que eu realmente era eu (Petr) tentando alterar os detalhes. Eu poderia entrar com o número do passaporte, mas eu não o tinha (ainda), a data de nascimento. A data de nascimento de Petr estava pública no perfil do Facebook e também era possível acessar nos dados da empresa dele no site de registro da República Tcheca. A data de nascimento era, sem dúvida, um dado público, e isto refletia diretamente em seu CPF e RG de empresários e freelancers. Aqui, isto não é um segredo.

Finalmente, aqui está o número do passaporte! E eu inclusive posso alterá-lo. Legal, eu posso tornar a celebração do aniversário da esposa de Petr um pouco mais longa. Apenas alterar o número de passaporte de Petr para o número de passaporte de um criminoso procurado internacionalmente ou algo do tipo.

Eu não quis mudar nada e avisei tudo a Petr. Também pedi desculpas porque acabei bloqueando seu acesso no site da companhia aérea tentando adivinhar a data de aniversário de sua esposa. Eu encontrei no Google depois, é claro. Um grande agradecimento a Petr por ter sido tão legal comigo! Com base na próxima foto que ele publicou do cartão de embarque, alguns meses depois, ele aprendeu a lição aquele dia – sem código rastreador ou códigos de barras visíveis.

Mais Facebook e fotos do Instagram

Você irá encontrar muitas fotos do cartão de embarque tanto no Facebook quanto no Instagram. Algumas pessoas que viajam tentam dar de espertos e borram seus nomes e outros detalhes, mas deixam códigos de barra como este. Por exemplo, esta jovem chamada Anna.

O nome completo de Anna é Anna Ferenčáková, e ela estava viajando de Praga para Belgrado, na Servia, em abril de 2017. É possível descobrir isto escaneando o código de barras na foto. Códigos de barra também podem ser vistos em cartões de embarque “esquecidos” no desembarque do aeroporto e em outros locais.

Com mais e mais pessoas usando dispositivos “inteligentes”, códigos de barras em cartões de embarque podem ser encontrados nas fotos de mãos usando relógios. Abaixo, o tão famoso qrcode do cartão de embarque de alguma pessoa usando iWatch. Este código contem a mesma informação (ou similar) que o velho cartão de embarque em papel. Mas com um smart watch, você não precisa imprimir o cartão de embarque, tudo que você precisa fazer é posicionar sua mão enquanto o scanner no portão do embarque cuida do resto. O futuro está aqui.

Esta mão (e relógio) pertencem a Stephen Fenech, em rota de São Francisco para Nova Iorque. Nós sabemos disto porque, novamente, escaneamos o qrcode. Nós podemos confirmar esta informação lendo este artigo (em inglês) sobre as falhas de segurança usando cartões de embarque com “smart” watches, que – como seu pulso – não cabem em alguns scanners. Existe uma outra coisa importante encontrada no qrcode: um número de cliente (para programas de milhagem). O número de Stephen é 4708760.

Roubando uma conta

Quando procurei por cartões de embarque no Facebook, encontrei a foto de um qrcode tirada por um homem que desejava permanecer anônimo. Ele é conhecido em certos círculos sociais, tem aproximadamente 120 mil seguidores no Twitter e fundou alguma coisa na Europa e nos Estados Unidos também. O código na foto contém seu número de cliente na United Airlines. Esta companhia aérea trata estes números como um código de acesso super secreto. Quando imprimem o número de cliente em alguma correspondência oficial, imprimem apenas os últimos 3 dígitos e escondem os demais, como uma senha. O número estava completo no qrcode, é claro, então eu pude deduzir que seria possível usá-lo para sequestrar a conta de alguém. E “Por que não?”, certo? Não deveria ser tão fácil.

Então eu fui até o site da United Airlines, selecionei “esqueci minha senha” e digitei o nome e o número do qrcode escaneado. A seguir vieram duas perguntas de segurança que puderam ser respondidas em questão de segundos: “qual a primeira grande cidade que você visitou?” era a cidade onde esta pessoa havia nascido, e “qual sua atividade de inverno favorita?” em um país alpino não seria golf. O sistema corretamente reconheceu que era eu, na verdade ele, e então eu pude configurar uma nova senha para a conta. Atualização em 25 de agosto: Isto aconteceu em junho de 2016, a United Airlines adicionou uma nova etapa onde o usuário deve clicar num link enviado por email. Aparentemente hoje em dia eu estaria apto a apenas enviar o email.

Eu não alterei a senha, eu não queria causar problemas para ninguém. Eu enviei uma mensagem para a pessoa, assim como fiz antes com Petr Mára. Ele deletou a foto com o qrcode do Facebook (ainda estava no twitter), mas ele não acreditou que eu havia invadido sua conta. Ele achou que o site havia enviado uma nova senha para ele.

Após uma pequena explicação, ele entendeu. “Oh, merda, você está certo. Você simplesmente poderia ter trocado a senha. Isso é uma loucura.” Sim, é. Apenas porque ele fez upload do cartão de embarque eu pude roubar sua conta. Talvez o site guardasse dados de cartão de crédito armazenados para futuras compras — e eu simplesmente poderia ter deixado ele preso em algum lugar.

Apenas não publiquem qualquer foto com código

Usuários frequentemente publicam dados que nem sabem o que significa. Porque, à primeira vista, não é possível ver o que é ou para q serve. Alguém pode descobrir que os dados são úteis para algo. No pior cenário, é possível roubar uma conta.Apenas seja mais cuidadoso com o que publicar em suas redes sociais, você pode facilmente esconder os dados com um retângulo branco ou qualquer outra forma que preferir (borrar pode não ser o suficiente), ou apenas não publique informação nenhuma. Quando você cria respostas para questões de segurança você deve mentir. Você pode “lembrar” da sua resposta de segurança com um gerenciador de senhas. E não deixe seus cartões de embarque no aeroporto.

Este artigo é baseado na palestra de Michal Spacek (https://www.michalspacek.com/talks/z-fb-fotky-az-k-unesenemu-uctu-it17) na conferência organizada pelo gestor de domínio da República Tcheca


Deixe uma resposta

Notice: Comments reflect the opionions of those who did wrote theme. Allowing people comment here, doenst mean, that we also agree with them.

Your email address won't be displayed. Required fields are marked with this sign: *

More information

Assine a petição!

 

723 signatures

Diga aos deputados: não censurem nossa Internet

Olá congressista!

O projeto de lei 5.204/16 propõe o bloqueio de acesso a sites "precipuamente dedicados ao crime" hospedados no exterior e sem representação no Brasil, excluindo, expressamente, a possibilidade de bloqueio de aplicativos de troca instantânea de mensagens (sim, o WhatsApp).

Em sua justificativa, anexa ao projeto, argumenta-se que hoje, para se retirar do ar sites criminosos - incluindo aqueles de ponografia infantil e de tráfico de drogas - tem que se expedir uma carta rogatória (documento que pede cumprimento de ordem judicial brasileira no exterior) para o servidor. Por ser demorada, não seria medida adequada de combate a esses crimes, devendo-se, então, bloquear o acesso de brasileiros a tais sites.

Contudo, há um grande problema nessa lógica de combate ao crime: sites que cometem crimes hediondos e torpes, como a pornografia infantil, NÃO estão na internet normal (surface web), e sim na internet não-indexada (deep web). O que isso quer dizer? Que não há como bloquear acesso a esses sites pelas medidas propostas pelo PL. E mesmo que essas trocas de material ilegal na internet esteja sendo feita em território brasileiro, a justiça já tem meios para combatê-las (a operação DarkWeb II da Polícia Federal,  de combate a pornografia infantil online, criminalizada no art. 241-A do Estatuto da Criança e Adolescente, estourou no dia 22/11/2016).

Ou seja, a título de combate a crimes graves, estão dando de um jeitinho de bloquear sites que desatendem aos interesses da indústria fonográfica, punindo a população ao dificultar acesso à informação, cultura e conhecimento.

Ainda que a primeira coisa que venha à mente nessas situações sejam os sites que disponibilizam filmes e séries inteiras para download ilegal, como o MegaFilmesHD e outros sites que já foram fechados, o PL não é nada claro com relação ao que seria considerado um provedor "precipuamente dedicado à pratica de crime", e as violações estabelecidas pela Lei de Direitos Autorais não se limitam ao compartilhamento ilegal de obras protegidas.

Na verdade, está bem longe disso.

A utilização derradeira de determinadas obras protegidas para produção de alguns tipos de obras derivadas –como remix de músicas, fotos para memes e vídeos que utilizam trechos de filmes para desenvolver críticas a eles (O Partido Pirata até já satirizou a #CPICIBER através de um vídeo) – não é permitida pela lei, consistindo em violação ao direito autoral, o que é abrangido pelo PL em questão. A utilização pode ter finalidade lucrativa ou não, o autor da obra derivada pode ser profissional ou amador - não importa, não pode! É possível que esse tipo de utilização bastasse para justificar o bloqueio de determinado provedor de aplicação.

Plataformas que viabilizam o compartilhamento desse tipo de conteúdo em massa e que poderiam eventualmente ser bloqueadas pelo PL são: o Vimeo (plataforma de vídeos); O YouTube (plataforma de vídeo); o SoundCloud (plataforma de músicas); o Flickr (plataforma de fotografia); o MemeGenerator (site que facilita a elaboração de memes) e até mesmo sites dedicados ao compartilhamento de FanFiction –outro tipo de manifestação cultural que é considerada ilegal pela Lei de Direitos Autorais. Nesse sentido, o bloqueio proposto pelo PL 5.204/16 é problemático sob quatro óticas distintas: para os provedores de aplicação, para os autores dos conteúdos, para os usuários e para o interesse público como um todo.

Para os provedores de aplicação, a medida é desproporcional, pois enseja no bloqueio de todos os seus serviços no país, independente de parte dele estar dentro da legalidade ou não. Por exemplo, o SoundCloud, caso bloqueado, o será por completo, apesar de servir também como plataforma para o compartilhamento de obras de forma legal. Já o YouTube poderá ser censurado por disponibilizar vídeos de paródias de músicas, trailers feito por usuários, etc.

Para os autores, o grande problema é a insegurança jurídica gerada pela medida. Como muitas das utilizações não são permitidas pela lei atual, não é possível saber até que ponto elas serão usadas para bloquear o acesso a suas obras. No mais, criadores de conteúdo que produzem obras completamente permitidas pela lei e disponibilizam-nas nessas plataformas serão penalizados por causa daqueles que compartilham obras de forma ilegal. Já para os usuários, a medida é problemática por prejudicar o livre acesso à internet e o acesso às demais obras (legais) hospedadas nessas plataformas –elementos essenciais do direito constitucional de acesso à cultura.

E, por último, para o interesse público, o PL é potencialmente ainda mais perigoso, já que o bloqueio a determinados serviços, com a justificativa de violação ao direito autoral, pode ser utilizado para cercear a liberdade de expressão. O exemplo dos vídeos que utilizam trechos de filmes para criticá-los é ilustrativo, mas grandes produtoras cinematográficas poderão solicitar o bloqueio de sites que hospedem esse tipo de vídeo com o argumento de que seus direitos autorais foram violados.

Este projeto de lei, portanto, se caracteriza como uma medida de combate direto à cultura de compartilhamento, já difundida na nossa geração. O objetivo explicitado no anexo fica em segundo plano, deixando margem para interpretá-lo apenas como um pretexto. Sendo assim, pode-se dizer que não é exagero especular que se trata de uma manobra movida pelo lobby da indústria audiovisual para esconder uma medida conhecidamente impopular.

Assine a petição, entre em contato com seu deputado: lute por uma Internet Livre e contra projetos de censura!

[your signature]

Compartilhe com seus amigos:

Publicações