Feriados de fim de ano são movimentados. Quando você quiser se gabar do destino de sua viagem, tenha cuidado com o que publica no Facebook e no Instagram. Deixe seu cartão de embarque (e outros códigos de barra) para você mesmo.
Uma viagem para Hong Kong
Eu conheço Petr Mára há alguns anos, ele é um cara legal. Ele ministra palestras, cursos, tem um vlog e instalaiOS e macOS possível. Ele também ama viajar. Ele e sua esposa foram a Hong Kong para celebrar o aniversário dela em Maio de 2016, mas Petr não disse por quanto tempo eles gostariam de curtir a cidade. E é claro eu tinha que saber. Foi neste momento em que eu percebi que havia um rastreador com código YJVFKG e outros códigos de barras no cartão de embarque publicado por Petr no Instagram antes de decolarem. É melhor você não publicar informações sobre seus voos ou qualquer outros códigos de barras da sua passagem ou de qualquer ticket em geral.
O voo de Londres a Hong Kong dura aproximadamente 12 horas, então uns cinco dias? Para encontrar a data de volta de Peter, o que eu precisava fazer era apenas visitar o site da British Airways e inserir alguns dados da reserva. Após indicar o código rastreador eu descobri, entre outras coisas, que Petr tinha todos os dados pessoais preenchidos corretamente. Navia um botão vermelho para visualizar ou alterar detalhes. , se você ver um botão vermelho, você tem que clicar. Então cliquei.
A companhia aerea queria verificar que eu realmente era eu (Petr) tentando alterar os detalhes. Eu poderia entrar coma data de nascimento. A data de nascimento de Petr estava pública no ata de nascimento era, sem dúvida, um dado público, e isto refletia diretamente em seu CPF e RG de empresários e freelancers. Aqui, isto não é um segredo.
Finalmente, aqui está o número do passaporte! E eu inclusive posso . Legal, eu posso tornar a celebração do aniversário da esposa de Petr um pouco mais longa. Apenas alterar o número de passaporte de Petr para o número de passaporte de um criminoso procurado internacionalmente ou algo do tipo.
Eu não quis mudar nada e avisei tudo a Petr. Também pedi desculpas porque acabei bloqueando seu acesso no site da companhia area tentando adivinhar a data de aniversário de sua esposa. Eu encontrei no Google depois, é claro. Um grande agradecimento a Petr por ter sido tão legal comigo! Com base na próxima foto que ele publicou do cartão de embarque, alguns meses depois, ele aprendeu a lição aquele dia – sem código rastreador ou códigos de barras visíveis.
Mais Facebook e fotos do Instagram
Você irá encontrar muitas fotos do cartão de embarque Facebook no Instagram. Algumas pessoas que viajam tentam espertos e borram seus nomes e outros detalhes, mas deixam códigos de barra como este. Por exemplo, esta jovem chamada Anna.
O nome completo de Anna é Anna Ferenčáková, e ela estava viajando de Praga para Belgrado, na Servia, em abril de 2017. É possível descobrir isto escaneando o código de barras na foto. Códigos de barra também podem ser vistos em cartões de embarque “esquecidos” no desembarque do aeroporto e em outros locais.
Com mais e mais pessoas usando dispositivos “inteligentes”, códigos de barras em cartões de embarque podem ser encontrados ê não precisa imprimir o cartão de embarque, tudo que você precisa fazer é posicionar sua mão enquanto o scanner no portão do embarque cuida do resto. O futuro está aqui.
Esta mão (e relógio) pertencem a Stephen Fenech, em rota de São Francisco para Nova Iorque. Nós sabemos disto porque, novamente, escaneamos o qrcode. Nós podemos confirmar esta informação lendo este artigo (em inglês) sobre as falhas de segurança usando cartões de embarque com “smart” watches, que – como seu pulso – não cabem em alguns scanners. Existe uma outra coisa importante encontrada no qrcode: um número de cliente (para programas de milhagem). O número de Stephen é 4708760.
Roubando uma conta
Quando procurei por cartões de embarque no Facebook, encontrei a foto de um qrcode tirada por um homem que desejava permanecer anônimo. Ele é conhecido em certos círculos sociais, tem aproximadamente 120 mil seguidores no Twitter e fundou alguma coisa na Europa e nos Estados Unidos também. O código na foto contém seu número de cliente na United Airlines. Esta companhia area trata estes números como um código de acesso super secreto. Quando imprimem o número de cliente em alguma correspondência oficial, imprimem apenas os últimos 3 dígitos e escondem os dems, como uma senha. O número estava completo no qrcode, é claro, então eu pude deduzir que seria possível usá-lo para sequestrar a conta de alguém. E “Por que não?”, certo? tão fácil.
Então eu fui até o site da United Airlines, selecionei “esqueci minha senha” e digitei o nome e o número do qrcode escaneado. A seguir vieram duas perguntas de segurança que puderam ser respondidas em questão de segundos: “qual a primeira grande cidade que você visitou?” era a cidade onde esta pessoa havia nascido, e “qual sua atividade de inverno favorita?” em um país alpino não seria golf. O sistema corretamente reconheceu que era eu, na verdade ele, e então eu pude configurar uma nova senha para a conta. Atualização em 25 de agosto: Isto aconteceu em junho de 2016, a United Airlines adicionou uma nova etapa onde o usuário deve clicar num link enviado por email. Aparentemente hoje em dia eu estaria apto a apenas enviar o email.
Eu não alterei a senha, eu não queria causar problemas para ninguém. Eu enviei uma mensagem para a pessoa, assim como fiz antes com Petr Mára. Ele deletou a foto com o qrcode do Facebook (ainda estava no twitter), mas ele não acreditou que eu havia invadido sua conta. Ele achou que o site havia enviado uma nova senha para ele.
Após uma pequena explicação, ele entendeu. “Oh, merda, você está certo. Você poderia ter trocado a senha. Isso é uma loucura.” Sim, é. Apenas porque ele fez upload o cartão de embarque eu pude roubar sua conta. Talvez o site para futuras compras — e eu dpreso em algum lugar.
Apenas não publiquem qualquer foto com código
Usuários frequentemente publicam dados quePorque, não é possível ver para q serve. A úteis para algo. No pior cenário, é possível roubar uma conta.cuidadoso com o que publica em suas redes sociais, você pode esconder os dados com um retângulo branco ou qualquer outra forma que pref(borrar pode não ser o suficiente), ou apenas não publique informação nenhuma. Quando você cria respostas para questões de segurança você deve mentir. Você pode “lembrar” da sua resposta de segurança com um gerenciador de senhas. E não deixe seus cartões de embarque no aeroporto.
Este artigo é baseado na palestra de Michal Spacek (https://www.michalspacek.com/talks/z-fb-fotky-az-k-unesenemu-uctu-it17) na conferência organizada pelo gestor de domínio da República Tcheca
0 comentários