Čech Michal Špaček přišel na to, jak odcizit účet klienta letecké společnosti z pouhé fotky palubní vstupenky

Filip HouskaFilip Houska

0Zobrazit komentáře

V době sociálních sítí lidé rádi uveřejňují řadu informací, které by bylo nejlepší si nechat pouze pro sebe. To platí i pro obyčejné letenky, jež takový Facebook nebo Instagram doslova zahlcují. Lidé si totiž neuvědomují, jakým problémům by se mohli vystavit, což potvrzuje i český bezpečnostní expert a vývojář Michal Špaček.

Ten ve svém blogovém příspěvku, který se dostal až na známý server Hacker News, kde byl komunitou ohodcen jako jeden z nejlepších, vysvětluje, jak jednoduché je získat přístup k účtu u letecké společnosti dané osoby z pouhého vyfocení a zveřejnění palubní vstupenky. Nehledě na to, že mohou být odcizeny i velice citlivé informace o bankovním účtu a tak podobně.

rapidm

Přečtěte si takéMartin Šťáva a David Drobík z STRV: o náš nový projekt Rapid.io se zajímal i Peter ThielMartin Šťáva a David Drobík z STRV: o náš nový projekt Rapid.io se zajímal i Peter Thiel

Celou situaci demonstroval na několika reálných příkladech. Asi tím nejzásadnějším bude ten s Petrem Márou, známým blogerem, lektorem a školitelem zařízení od Applu, který své a manželčiny palubní vstupenky před odletem do Hong Kongu umístil na Instagram.

Na palubních lístcích byly zcela viditelně uvedeny dva údaje, které by za žádných okolností neměly být uveřejňovány – rezervační a čárový kód. Také byla jasná letecká společnost – British Airways. Špaček, respektive kdokoliv jiný, kdo umí s těmito informacemi pracovat, tak mohl přejít na web dané letecké společnosti, zadat rezervační kód a přijmení osoby a snažit se dostat dovnitř účtu kliknutím na tlačítko View or change details, což také udělal.

Následně byl požadán, aby vyplnil datum narození, což je poměrně snadno dohledatelná informace (Facebook, obchodní a živnostenský rejstřík, …). Jakmile tento údaj vyplnil, dostal se do sekce, kde zcela volně mohl měnit číslo pasu. Asi není třeba dodávat, že při pozměnění čísla pasu může osobě, která už odcestovala do zahraničí, výrazně stížit život.

Špaček tyto informace však nijak nezneužil, nicméně mu posloužily k tomu, aby informoval svět (a především Máru) o tomto možném nebezpečí.

Stačí i kód na chytrém zařízení

Špaček také zmiňuje, že i když není viditelný rezervační kód, ale pouze čárový, tak se dá snadno zjistit, kam má osoba namířeno, popřípadě ve které zemi je. S čárovým kódem se také pojí takzvaný aztécký kód (Aztec code), který zastává úlohu čárového kódu na chytrých mobilních zařízeních.

Snadné zneužití klientského věrnostního programu u leteckých společností

Právě aztécký kód zahrnuje další soukromý údaj – číslo věrnostního programu, respektive frequent-flyer programme. Tuto situaci demonstroval Špaček na osobě cestující se společností United Airlines, u které má tento věrnostní program aktivní. A postup, aby se dostal dovnitř účtu přes zpravidla sedmimístný číselný kód věrnostního programu, byl opět jednoduchý.

Stačilo mu, aby na webu United Airlines v sekci správy účtu vybral možnost, že „zapomněl heslo”. K tomu potřeboval jméno a příjmení, které není složité najít (pokud není někde přímo uvedeno), a aztécký kód, jenž díky fotce na sociální síti dotyčného po naskenování získal. Jakmile tyto údaje vyplnil, odpověděl na dvě snadno uhodnutelné bezpečnostní otázky a heslo mohl nastavit, čímž prakticky získal přístup k účtu.

Zamazání čárového kódu nestačí

Ve svém příspěvku Špaček vyzdvihl i pár důležitých rad, jak předejít odcizení účtu jako takovému. Především je nutné, aby zveřejněné fotky žádný z kódů vůbec nezobrazovaly. Dodává, že ani zamazání, které potřebné informace na pohled dostatečně skryje, nemusí stačit. Jistotou tedy je kompletní začernění, překrytí jiným objektem nebo zkrátka nepořizovat žádné takové fotky.

Další zásadní věcí, která platí na širokou škálů různých účtů, je „lhaní” na bezpečnostní otázky. I když se otázky typu „Jméno vašeho prvního mazlíčka” dobře pamatují, není vyloučeno, že to nikdo jiný neví, a proto je lepší napsat náhodnou směsici čísel a písmen a uložit ji do nějakého password manageru.

Foto: MichalSpacek.com