טסים לחו"ל? אל תצלמו את כרטיס הטיסה שלכם

פרצת אבטחה סופר מקורית נמצאת בתמונות השופוני המסורתיות שאנחנו שמים בפייסבוק, באינסטגרם או בסנאפצ'אט
שימו לב לפרט הנסתר - הברקוד שיש בכרטיס הטיסה המצולם

יום כיפור נגמר וחג סוכות עומד לפנינו, לא מעט אנשים יוצאים לחופשה בחו"ל. מה עושים כאשר יוצאים לחופשה בחו"ל? מצטלמים ומעלים לפייסבוק או לאינסטגרם. מספיק לחפש מעט בפיד את המילים "#התחלנו" או "#"טיסה" או "#חול" כדי למצוא תמונות רבות של אנשים מאושרים. חלק גדול מסדרת התמונות כוללות צילום של האיש המאושר (וכולנו מאושרים בפייסבוק כמובן) מחזיק את כרטיס הטיסה בדיוטי פרי.

שלוש עלמות חן שאני לא מכיר שהצטלמו רגע לפני הטיסה שלהן #התחלנו
שלוש עלמות חן שאני לא מכיר שהצטלמו רגע לפני הטיסה שלהן #התחלנו

הבעיה היא שתמונה תמימה כזו היא בחזקת סכנה לפרטיות ולפעמים סכנה חמורה. מדוע? כיוון שצילומים כאלו יכולים לחשוף מידע רגיש שאנחנו לאו דווקא מודעים אליו. מדוע? שימו לב לכרטיס הטיסה:

שימו לב לפרט הנסתר - הברקוד שיש בכרטיס הטיסה המצולם
שימו לב לפרט הנסתר – הברקוד שיש בכרטיס הטיסה המצולם

על כל כרטיס טיסה יש ברקוד ושם מלא. בעוד שהאדם הסביר יסתיר את השם שלו ואת מספר הטיסה, בהרבה תמונות נחשוף את הברקוד. מה יש בברקוד הזה? ברקוד הוא בעצם ייצוג גרפי של מידע שכל מכשיר יכול לקרוא. אנחנו מכירים אותם בעיקר ממהמוצרים שאנחנו רוכשים בסופר. כל ברקוד כזה מכיל מספר ייחודי שמזהה את המוצר. ברקוד יכול להכיל מספרים או אותיות. בעבר, נדרשת למכשיר שיוכל לקרוא את הברקוד ולשלוח את הקוד למסך. אבל כיום לכל אחד יש בכיס מכשיר כזה – הטלפון הנייד! לכל אחד מאיתנו יש סורק קוד מסוג זה או אחר שיכול לסרוק.

ברקוד שמאכסן את המידע internet-israel.com
ברקוד שמאכסן את המידע internet-israel.com

לא חייבים אפילו טלפון נייד, יש שלל של אתרים שסורקים בר קוד. למשל האתר הזה. הכניסו את התמונה של הברקוד (הקפידו שהיא תהיה מיושרת) ובחרו בסוג הברקוד. תוכלו לראות את המידע שאצור בפנים ללא בעיה. הנה, המידע שנמצא על הברקוד שנתתי קודם:

זה הברקוד הפשוט שנמצא בשימוש משנות השישים. הבעיה העיקרית איתו? האורך שלו מוגבל. אם אנו רוצים לאכסן יותר מידע, הברקוד יהיה מאוד ארוך ולא יהיה ישים להשתמש בו כיוון שהמצלמה (בטח ובטח המצלמה הפרימיטיבית שיש בקופות) לא תוכל לתפוס את כולו. הפתרון? בר קודים מסוגים אחרים. כמו למשל ה-QR code. ברקוד דו מימדי שמסוגל להכיל כתובת אינטרנט שלמה בהתאם לגודל. אפילןו אחת באורך של 1.4 קילובייט. הברקודים האלו משמשים בעיקר פרסומאים כשהם רוצים לאפשר לאנשים לגשת לכתובת אינטרנט ממודעה פרסומית ללא צורך בהקלדה. סביר להניח שגם אותו אתם מכירים, הוא נראה כך:

אם נסרוק אותו באמצעות הטלפון או האפליקציה נוכל גם כן למצוא את המידע שיש מאחוריו במהירות.

מטרת ההקדמה הזו היא לגרום לכם להבין שברקודים הם לא דבר מסובך. אנחנו משתמשים בהם כל הזמן ויש לנו בכיס מכשיר המסוגל לפענח אותם. גם אם מדובר בברקוד פשוט וגם אם מדובר בברקוד מסובך. בכל ברקוד שאנחנו רואים יש מידע. לפעמים אנחנו לא רוצים לחשוף את המידע הזה. זה רלוונטי מאוד כאשר מדובר על כרטיס טיסה. לפני כחודש גם דיברו בתקשורת על החשיבות של לא לזרוק את כרטיס הטיסה. אבל עם טכנולוגית הצילום של היום והתמונות הברורות מאוד שעולות לרשת, יש סיכונים גם מהגיוון הזה.

תמונה אמיתית מאינסטגרם של מישהו שטס לישראל וחזרה
תמונה אמיתית מאינסטגרם של מישהו שטס לישראל וחזרה

ברקוד של כרטיס טיסה הוא בדרך כלל ברקוד מסוג PDF417 שכמובן קל ופשוט לקרוא אותו. קל לזהות את הסוג הזה של הברקוד לפי הפסים העבים הנמצאים בתחילתו ובסופו. בדרך כלל בברקוד PDF417 שיש על כרטיס טיסה ישנם כמה פרטים חשובים: ראשית השם שלי כפי שהוא מאויית בדרכון, מספר הטיסה, מספר ההזמנה ולפעמים גם עוד פרטים בהתאם – כמו מספר החבר במועדון הנוסע המתמיד. תלוי בחברת התעופה.

מה אפשר לעשות עם הפרטים האלו? הרבה מאוד. למשל Michal Špaček, מתכנת צ'כי, מפרט בפוסט איך הוא הצליח לסרוק ברקוד בתמונה של קורבן, ולההשתמש במספר הטיסה ובשם המשפחה, ששניהם זמינים בברקוד, להכנס אל המידע המופיע בצ'קאין שכולל מידע אישי כולל מספר הדרכון.
הדרך הזו היא פשוטה, כאמור כל מי שטס, גם באל על ובכל חברה אחרת, אמור לעשות צ'ק אין באתר. בצ'ק אין אנו מכניסים את מספר ההזמנה ואת שם המשפחה כפי שהוא מופיע בדרכון. האם ניסיתם להכנס לממשק הצ'ק אין לאחר הצ'ק אין? מי שניסה, גילה שיש לך אפשרות לצפות בכל הפרטים ולתקן. גם לאחר הטיסה עצמה. כל הפרטים כוללים לעתים מספר דרכון ופרטים מזהים אחרים. עם המידע הזה אפשר לעשות הרבה יותר כמובן – כמו לחטוף את חשבון הנוסע המתמיד ולעשות שם פעולות שונות, כפי ש-Michal Špaček הדגים. אפשר לעשות דברים אחרים, כמו למשל להכנס לצ'ק אין בחזור ולהכניס מספר דרכון של פושע מבוקש על מנת להציק ולהזיק.

באופן אישי, כל מה שהייתי צריך לעשות זה להכנס לפייסבוק שלי, לחפש #התחלנו ו #טיסה ולהתחיל לסרוק את הברקודים שמצאתי. לא תאמינו כמה מצאתי באופן שטחי. אם הייתי רוצה להזיק למישהו, הייתי יכול.

האם צריך להכנס לפאניקה ולשרוף את הרשת? בוודאי שלא. האם צריך להיות מודעים? בוודאי שכן. לצלם את תמונת ה#התחלנו המסורתית אפשר גם בלי הברקוד על הכרטיס. מה שחשוב זה להיות מודעים שברקוד הוא גם מידע ומידע שקל לקחת, כי על מנת לגנוב את הפרטים האלו ולהשתמש בהם לא נדרשת מיומנות טכנית גבוהה במיוחד.

פוסטים נוספים שכדאי לקרוא

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

פייתון

קבצי קונפיגורציה בפואטרי

הגדרות שמשנות את ההתנהגות של פואטרי באמצעות קבצי הגדרות גלובליים, לוקליים ואפילו משתני סביבה.

גלילה לראש העמוד