• 原文地址：Post a boarding pass on Facebook, get your account stolen
• 原文作者：Michal Špaček
• 译文出自：掘金翻译计划
• 本文永久链接：github.com/xitu/gold-m…
• 译者：lampui
• 校对者：Tina92、 zhangqippp

假期正在火热地进行中，当你想要晒晒自己去了哪儿的时候，留心自己发上 Facebook 或 Instagram 的信息。登机牌（或其他有条码的票据）自己留着（或者用碎纸机处理掉）。

一趟前往香港的旅行

我认识 Petr Mára 好几年了，他是一个很友好的人，同时他也是一位演讲者、训练者、视频主播及 IOS & macOS 的发烧友。他还很爱去旅行，在 2016 年 5 月，他就带着她妻子一起去了趟香港庆祝她的生日，但 Petr 没有说他们会去多久，当然，我最后还是知道了！在 Petr 还没飞的时候，他发了一条动态，这条动态上面有一个带着订单号 YJVFKG 和一些条码的登机牌，就是那一刻，我知道了他要在香港呆多久。一般而言，你最好别公开任何印有订单号、二维码或条码的登机牌、票据。

Petr Mára 发的这条动态

这趟航班从伦敦起飞，大概要飞 12 个小时，所以他们只待 5 天？只要上英国航空公司官网，并在右边的输入框输入他的订单号，然后你就可以找到 Petr 在香港的起降机场了。提交了订单号之后我才发现，除了其他事情之外，Petr 已经把所需的数据都填好了。也不奇怪，他人都在香港了。然后下面有一个 View or change details 的红色按钮。你应该懂的，你看到一个红色按钮，你就要点它，所以我点了。

航空公司登录页面

所需数据已完整

航空公司想认证修改信息的是我 Petr，我可以输入他的护照号码或生日，但我（目前）不知道。在 Petr 的 Facebook 个人主页有他的生日，这在捷克共和国的 Business Register 或 Trade Register也是公开的。每个人的生日其实都算是公开的秘密啦！在交易商和自由职业者的增值税税收 id 上也可以找到一个人的生日，所以生日不算什么秘密。

Petr 的详细信息

最终，我找到了他的护照号码！我甚至可以修改它！酷！我可以令 Pter 和 他妻子在香港庆祝生日得更久一点。只需输入一个国际通缉犯或是其他什么的护照号码。

我没有修改任何信息，并把这件事告诉了 Petr。我向他道了歉，因为我试着猜测他妻子的生日而令他在接下来的 24 小时以内不能访问他的预订页面。当然啦，之后我谷歌到了他妻子的生日。非常感谢 Petr 知道这件事后还是对我这么友好！5 个月后，从他下一条发有登机牌的朋友圈就知道，Petr 已经上了一堂课 — 订单号或条码都要打码。

更多 Facebook 和 Instagram 的照片

你能在 Facebook 或 Instagram 发现大量的登机牌照片。有些旅客试着聪明点，于是将他（她）们的名字或其他信息打码，然而一些条码却赤裸裸的，像下面这位叫 Anna 的女士。

Instagram 中的随机条码

Anna 的全名叫 Anna Ferenčáková，在 2017 年 4 月，她从布拉格飞往塞尔维亚的首都 — 贝尔格莱德。你扫了那张照片上的条形码就能知道这些信息了！条码也可以在“遗落”于飞机上的登机牌或其他地方被找到。

扫描后的条码信息

随着越来越多的人使用“智能”设备，登机牌上的条码也可以在智能手表中被找到，下面是一个能在某人的 iWatch 上显示登机牌的所谓的 Aztec 二维码。这个二维码包含了跟传统纸质登机牌一样的（或类似的）信息，但这些信息在一个智能手表上，你就不需要打印你的登机牌，你要做的就是在过关的时候伸出手去扫一扫就行了，未来已来。

智能手表上的 Aztec 二维码

这只手（和手表）是 Stephen Fenech 的，这张照片是拍在他从旧金山去往纽约的途中。我们又一次知道了这些信息，因为我们扫了 Aztec 二维码。我们可以通过阅读这篇关于在"智能"手表上使用登机牌的陷井，你的手腕 – 只是不适合一些扫描仪。在 Aztec 二维码还有一项重要的信息：一个代表该旅客是频繁飞行旅客的号码。Fenech 先生的这个号码是 4708760。

扫描后的 Aztec 二维码

盗号

当在 Facebook 搜索登机牌的时候，我找到了一张有 Aztec 二维码的照片，这张照片是一个匿名男子拍的。他在某个圈子很有名，Twitter 上大概有 120,000 名的粉丝，在欧洲和美国也有些背景。这个二维码包含了他在联合航空公司的频繁飞行旅客号码。这间航空公司对待这些号码就像对待高级秘密访问口令。如果他们需要将这些号码打印到官方文件，他们只会显示最后 3 位数字，而其他位则会隐蔽，就像密码那样。在 Aztec 二维码中扫出来的频繁飞行旅客号码是完整的，当然，所以我在想利用它并黑进那个人的账户。为什么不黑呢，对吧，这应该不会那么简单。

所以我上了联合航空公司的官网，选择了忘记密码，然后输入从 Aztec 二维码得来的名字和号码，接着用了几秒时间回答了 2 个安全问题：“你访问的第一个大城市？”和“你最喜爱的冬季运动？”，第一个问题的答案就是那个人的出生地，第二个问题的答案在高山国家的话肯定不是高尔夫。系统无误地将我认定为账号的真实主人，然后我可以给他的账号设置一个新密码。更新 8 月 25 日：这件事情发生在 2016 年 6 月，联合航空公司已经加多了一项保护措施，他们会要求用户点击一条发送到用户邮箱里的修改密码链接，看来我现在能发送这样的电子邮件了。

创建新密码

我没有设置一个新密码，我并不想给任何人带来麻烦。我发了一条消息给那个人，就像我发了条消息给 Petr Mára 一样。他已经在 Facebook（但 Twitter 上还在）删除了那张含有 Aztec 二维码的照片。但他不信我可以劫持他的账户，他以为联合航空公司网站会发个新密码给他。

经过一番简单的解释之后，他懂了！ Oh shit，你是对的！你可以把密码给改了！这简直就是疯了！没错，确实是这样。就因为他上传了他的登机牌，我可以盗他的号！也许未来的买卖会有储蓄支付卡，又或者我可以令他在某个地方卡死。

别公开任何含有代码的图片

用户通常会不经意间公开一些在他（她）们眼里没有价值的数据，因为在第一眼看来，不太可能看出这些数据隐含着什么信息或者有什么用。某些人可能会觉得在某些地方有用。最坏情况下，还是有可能被盗号的。所以对你需要上传或公开的数据还是要留点心好。当你想上传到 Facebook 但又不确定照片或截图中有什么数据时，你可以用一个黑色的矩形或者任意其他你喜欢的形状（单单模糊化可能还不够）掩盖它，又或者干脆就别发布了。当创建安全认证问题的时候，你要学会撒谎。你可以用密码管理工具“记住”你的答案，就像记住你的密码那样，还有就是别把你的登机牌留在飞机上。

这篇文章是基于我在 CZ domain registry 的演讲（在捷克）。

推荐阅读

• 登机牌的条码上面有什么？很多，作者 Brian Krebs.
• Carmen Sandiego 在世界的哪里？，一个由 Karsten Nohl 和 Nemanja Nikodijevic 进行的 33C3 演讲

更新

8.25 当重置联合航空公司密码时需要额外操作

Michal Špaček

我构建 web 应用程序并且关心 web 应用程序安全，我乐于分享安全方面的开发。我的职责是教授 web 开发者如何构建安全且快速的 web 应用程序及其原因。

掘金翻译计划 是一个翻译优质互联网技术文章的社区，文章来源为 掘金 上的英文分享文章。内容覆盖 Android、iOS、React、前端、后端、产品、设计 等领域，想要查看更多优质译文请持续关注 掘金翻译计划、官方微博、知乎专栏。