Почему не стоит выкладывать фотографии авиабилетов в социальные сети?

В последнее время большое количество людей выкладывают фотографии своих билетов онлайн. Большое количество подобных фотографий можно увидеть в социальных сетях: Вконтакте, Facebook, Instagram. Многие из них просто хотят этим показать своим друзьям и подписчикам, что они действительно летали отдыхать в какую-либо экзотическую страну, ездили на поезде в Мюнхен или сходили на концерт популярной группы. С одной стороны, что в этом плохого? С другой стороны, стоит выяснить, так ли это безопасно. Если ты относишь себя к этой категории людей или тебе интересно, какие неприятности может в себе таить публикация фотографий билетов в социальных сетях, то эта статья для тебя.

Не будем тебя томить долгим ожиданием и скажем прямо – так делать не стоит! Вы же не хотите, чтобы кто-либо мог украсть ваш посадочный талон, отменить или перебронировать на своё имя вашу поездку, переписать на свой счёт накопленные мили? Как такое возможно, спросите вы. Всё очень просто. На авиабилете содержится вся необходимая информация, чтобы злоумышленник, получив её, мог испортить вам отдых.

Кроме имени и фамилии на авиабилете присутствует код бронирования PNR (Passenger Name Record). Это уникальный код, внесённый в базу данных, по которому можно получить доступ к такой информации как номер рейса, дата и время полёта и многие другие детали вашего маршрута.

Не нашли на вашем билете код бронирования – не стоит радоваться прежде времени. Он обязательно содержится в штрих-коде в закодированном виде.

Вот, что можно по этому поводу прочитать в блоге лаборатории Касперского:

Каких-то единых стандартов на PNR нет, в каждой системе бронирования свой набор полей, однако основные, конечно, совпадают — это имена пассажиров, контакты того, кто оформил билет, номер билета и данные хотя бы об одном полетном сегменте (откуда и куда, номер рейса, дата и время). Интересно, что для всех пассажиров в брони сегменты должны быть одинаковыми; если вы летите разными рейсами, то у вас будут и разные PNR.

Также PNR содержит параметры тарифа, информацию об оплате и способе оплаты (вплоть до номера кредитной карты), а в ряде случаев даже номер телефона пассажира и адрес в стране пребывания. Здесь же могут содержаться дата рождения, паспортные данные — в общем, информации предостаточно. Что она может дать?

1. Самый простой способ — узнать по номеру брони, когда вы улетаете и когда вы возвращаетесь. Если вы всей семьей улетели в отпуск на две недели, значит, вас в это время совершенно точно не будет дома. Это весьма полезная информация для вора-домушника или автоугонщика, который получает дополнительную уверенность в том, что можно внаглую заехать на эвакуаторе прямо к вам во двор.
2. Можно просто сделать мелкую пакость: зарегистрировать вас на рейс, выбрав самые неудобные места в проходе у туалета. У многих авиакомпаний поменять место потом нельзя, а если и можно, то при полностью загруженном борте вас просто не пересадят по-другому, потому что уже и пересаживать некуда.
3. Более интересная гадость — это аннулирование обратного билета. Представляете: приехали вы в аэропорт, а в базе вас нет. Проходит пара часов, пока не выясняется, что кто-то позвонил в авиакомпанию от вашего имени, сообщил все персональные данные и попросил вернуть билеты.
4. Изощренный способ — не отменять билеты, а изменить даты и время вылета. Если тариф предусматривает изменения без штрафов, можно потом неплохо посмеяться над человеком, который приезжает в аэропорт и узнает, что его самолет улетел вчера. Или, наоборот, улетает завтра.
5. Еще один вариант для вымогателя: например, пассажир всем рассказывает, что летит один в командировку, а на самом деле в его PNR числится еще какая-нибудь Снежана 1996 года рождения. Самое время рассказать об этом супруге любителя прихвастнуть посадочными талонами, не так ли?
6. Имея неполные данные о фамилии и бонусной карте авиакомпании, можно с помощью методов социальной инженерии еще и получить доступ к личному кабинету бонусной программы. Там ведь сброс пароля зачастую можно сделать по ответу на секретный вопрос типа «Девичья фамилия матери», а вашу мать наверняка несложно найти в соцсетях.
7. Если в базе есть и номер телефона, как правило, мобильного, то можно пойти к оператору и получить новую сим-карту якобы взамен украденной. Теперь у злоумышленников имеется доступ ко всем вашим аккаунтам с двухфакторной авторизацией — от почты и соцсетей до банковских счетов, откуда можно беспрепятственно перевести себе все деньги, а также потратить средства с вашей кредитной карточки на свои маленькие радости.

Ну что, с публикацией фотографий авиабилетов в социальных сетях мы разобрались. Теперь и вы знаете, что не стоит этого делать. Однако, давайте рассмотрим этот вопрос подробнее – всё ли гладко с системой безопасности у самих авиакомпаний. Ведь мы им доверяем ценную информацию о себе, свои финансы.

Как работают системы бронирования авиарейсов, и какие опасности в себе может таить, казалось бы, безобидная информация на бирках багажа, посадочных талонах? Посмотрим, что об этом написано в блоге всё той же лаборатории Касперского, занимающейся выпуском программных продуктов в сфере информационной безопасности.

Авиаперевозчикам, туристическим агентствам, сайтам-агрегаторам, позволяющим сравнить цены на билеты, и прочим причастным сервисам очень нужно, чтобы люди могли максимально легко бронировать билеты. Для этого индустрия использует так называемые глобальные дистрибьюторские системы (GDS). С их помощью авиакомпании проверяют расписание и наличие рейсов, не забронировано ли одно и то же место дважды на разных сайтах, и тому подобные вещи.
Работа GDS тесно связана с Интернетом, но, к сожалению, современные методы защиты веб-сервисов в GDS до сих пор не применяются. В результате с точки зрения безопасности эти системы сильно устарели, и накопившиеся за много лет уязвимости позволяют злоумышленникам натворить немало дел.
В настоящее время существует около 20 разных глобальных систем бронирования, но специалисты по информационной безопасности ограничили свои исследования тремя самыми крупными: Sabre (основана в 1960 году), Amadeus (основана в 1987-м) и Galileo (сейчас является подразделением Travelport). Эти три системы обслуживают более 90% всех заказов бронирования билетов, а также отелей, автомобилей и турпоездок.
Например, авиакомпании Lufthansa и AirBerlin, а также крупный сайт Expedia работают с Amadeus. American Airlines и «Аэрофлот» предпочитают Sabre. Сложно наверняка сказать, в какую именно GDS попадут данные конкретного пассажира: так, если пользователь забронирует билет на рейс American Airlines с помощью Expedia, его заказ будет зарегистрирован и в Amadeus, и в Sabre.
Требования разных систем бронирования отличаются, но в целом GDS обычно записывают имя пассажира, дату рождения, номер телефона, а также номер билета, аэропорты отправления и назначения, время и дату полета. GDS также регистрирует платежную информацию (например, номер кредитной карты). Другими словами, в распоряжение GDS попадают довольно-таки ценные и конфиденциальные сведения.
Те же самые специалисты по информационной безопасности Нол и Никодиевиц выяснили, что доступ к этим данным есть у огромного количества людей, работающих в авиаиндустрии: сотрудников авиакомпаний, туроператоров, представителей отелей и других посредников. Исследователи полагают, что некоторые правительственные организации также имеют доступ к этим записям. Но на самом деле это только часть проблемы.
Для доступа к данным пассажира GDS создает пару «логин-пароль». В качестве логина используется фамилия пассажира, а в качестве пароля — шестизначный код бронирования. Большинству путешественников он известен как PNR. Да, тот самый PNR, который открыто печатается на всех посадочных талонах и багажных бирках, и является вашим паролем.

«Если PNR должен быть секретным паролем, с ним и обращаться нужно соответствующим образом, — говорит Нол. — Но авиакомпании не хранят его в тайне: напротив, распечатка с PNR крепится к каждому чемодану. Раньше код PNR печатали на посадочных талонах, но со временем заменили его штрих-кодом». Вот только эти штрихкоды по-прежнему содержат PNR — в закодированном виде.
Большинство путешественников не понимают, как устроена работа систем бронирования, поэтому они беспечно публикуют свои билеты онлайн вместе с закодированным PNR. Но штрих-код — не суперсложный шифр, его без проблем можно считать с помощью специальных программ. Поэтому любой, кто сфотографирует вашу багажную бирку в аэропорту или найдет снимок вашего билета в Интернете, может получить доступ к вашим личным данным. Не нужно быть хакером, чтобы воспользоваться несовершенством защиты систем бронирования, — достаточно просто знать, где и что искать. На видео ниже, например, показано, как Нол и Никодиевиц нашли в Instagram чей-то снимок авиабилета и расшифровали информацию, закодированную в напечатанном на нем штрих-коде.
Кроме того, многие сайты не блокируют пользователей, которые вводят неправильный пароль много раз. В результате злоумышленники могут выбрать популярную фамилию (скажем, Смирнов) и попросту подобрать PNR этого человека с помощью перебора.
Это несложно: во-первых, PNR — это код из шести символов верхнего регистра, который не содержит нулей, единиц или специальных символов. Во-вторых, многие компании используют несовершенные алгоритмы генерации кодов. Например, некоторые из них помещают одинаковые символы в начале PNR, сгенерированных в определенный день. Другие назначают специальные символы для конкретных авиалиний. Такая практика существенно сокращает количество символов, которые нужно угадать.
В результате преступники могут собирать в GDS конфиденциальные данные пассажиров и использовать их для сложных фишинговых кампаний. Представьте: некий Смирнов бронирует билеты на рейс в Берлин, а 10 минут спустя он получает письмо, в котором авиакомпания просит его подтвердить данные банковской карты. В письме упоминаются имя и фамилия пассажира, дата полета, аэропорт прилета и другие подробности брони. Выглядит ли оно правдоподобно? Еще как! Скорее всего, Смирнов без особых сомнений перейдет по ссылке и введет данные своей банковской карты, вот только сайт будет фальшивым.
Кроме того, подобрав PNR и проведя небольшое дополнительное исследование, преступники могут изменить дату полета или отменить билет и запросить возврат средств на собственный счет. Некоторые сайты позволяют поменять имя, фамилию и номер паспорта пассажира, так что преступники смогут отправиться на рейс вместо него. Кроме того, злоумышленники могут получить бонусные мили вместо настоящего владельца билета. В общем, с помощью PNR взломщик может разжиться бесплатными билетами, неограниченным количеством миль и даже деньгами.
И еще один печальный факт: несмотря на то, что специалисты по безопасности и журналисты за последние несколько лет неоднократно поднимали этот вопрос, провайдеры GDS до сих пор отказываются регистрировать попытки получения доступа к PNR. Поэтому никто не может отследить большую часть инцидентов злоупотребления этой системой. Известными становятся только самые громкие происшествия — например, когда преступники воруют у пассажиров билеты и те обращаются в авиакомпанию с жалобой. О более продуманных и осторожных случаях мошенничества и хищения данных не известно ничего.

Так стоит ли хвастаться тем, что улетаешь отдыхать на море, выкладывая фотографии своих авиабилетов в социальных сетях?

Что можно порекомендовать путешественникам, чтобы не стать жертвой мошенников? Во-первых, никогда и ни при каких обстоятельствах не нужно публиковать свой посадочный талон в Интернете. Даже старый билет может выдать преступникам ваши финансовые и личные данные, которыми они могут воспользоваться в своих преступных целях.
Во-вторых, не стоит открыто публиковать свой номер мобильного телефона, который был указан при бронировании рейсов. Понятно, что, скорее всего, этот же номер телефона используется в повседневной жизни и его знают большое количество людей и организаций. И всё же, лучше ограничить круг лиц, знающих данный номер.
В-третьих, не стоит пользоваться слишком простым паролем к вашей электронной почте. Ведь именно на неё вам приходит подтверждение бронирования, копии авиабилетов и посадочных талонов, а также код бронирования в открытом виде.
Следуя этим простым правилам, вы сведёте к минимуму возможность мошенникам испортить ваш отдых. Приятного путешествия!