Pierwotna publikacja tego artykułu na moim poprzednim prywatnym serwisie spowodowała trzęsienie ziemi w polskich mediach mainstreamowych. Tematyka bezpieczeństwa danych zawartych na kartach pokładowych znanych osób (w tym wypadku: Kingi Rusin) okazała się bardzo nośna. Trafiłem z nią na główną stronę Wykopu, „zdobyłem” blisko 100 tys. UU na moim blogu w trakcie kilku godzin, temat „żył” w Wirtualnej Polsce, na Onecie, Plotku, Pudelku, Pomponiku. Rozmawiano o nim w mediach branżowych, w serwisach zajmujących się bezpieczeństwem, opowiadałem o szczegółach w telewizyjnych programach informacyjnych, w RMF, Radiu Zet i w dziesiątkach innych miejsc. (Nie)stety, ubocznym efektem publikacji było również czasowe zamknięcie serwisu, na którym pierwotnie opublikowałem artykuł.
Czas pokazał, że artykuł i kwestie w nim poruszone są w dalszym ciągu boleśnie aktualne – a nieświadomi podróżnicy powtarzają błąd, który popełniła Kinga Rusin. Uważam więc, że warto ponownie podzielić się całą historią. Upublicznić, w celu edukacyjnym, ku przestrodze. Ale również pokazać, że każdy turysta musi mieć się na baczności, nie wyłączając myślenia podczas swojej podróży!
Wcześniej spotkało to dziennikarkę, prezenterkę, bizneswoman i (nieco) celebrytkę – jutro może przydarzyć się dowolnej innej osobie: niedzielnemu podróżnikowi, backpackersowi, turyście czy zwykłemu pasażerowi. Zatem: co z tymi kartami pokładowymi?
Cofamy się nieco w czasie. Kinga Rusin, znana dziennikarka i prezenterka telewizyjna, relacjonuje w mediach społecznościowych swój wyjazd do Stanów Zjednoczonych. Na swoim facebookowym profilu (obserwowanym przez ponad 145 tys. osób) dzieli się zdjęciami z parku narodowego Joshua Tree, z kalifornijskiej pustyni, pozuje przy kabriolecie i w rozmaitych ciekawych miejscach. Jak sama pisze do swoich fanów:
Przyjechałam tu głównie w interesach, aby rozmawiać o kolejnych składnikach dla naszych kosmetyków Pat&Rub, w ramach zaplanowanej współpracy z laboratoriami na sześciu kontynentach.
Kinga Rusin
Super, gratuluję rozwoju biznesu. Szczerze, doceniam! Kinga Rusin – lub osoba obsługująca jej profil w mediach społecznościowych – chce dzielić się dosłownie wszystkim. I w ów dość upalny wieczór, 9 maja, na jej Facebooku nagle pojawia się taki post:
Widzę to jako jedna z pierwszych osób, zupełnie przypadkiem (to temat na odrębną opowieść). Próbuję zebrać myśli i szczękę z podłogi: wydawało mi się, że temat tego, CZEGO NIE MOŻNA UPUBLICZNIAĆ w swoich mediach społecznościowych, jest powszechnie znany. W piekle znajdują się specjalne beczki ze smołą dla tych, którzy nie szanują otaczającego ich świata… oraz dla tych, którzy beztrosko wrzucają do sieci swoje karty pokładowe.
Na pozór to tylko informacja, że Kinga Rusin będzie lecieć z Frankfurtu do Warszawy, 10 maja. Klasa ekonomiczna, kod kreskowy, nic wielkiego i groźnego. 145 tys. osób, które obserwują Kingę Rusin w jej social mediach może się cieszyć: dziennikarka wraca do Polski, bez żadnych złych przygód. Czyżby?
DANE NA TALERZU
Kinga Rusin zapomniała, że czasy się zmieniły. Narzędzia internetowe – dostępne dla laików – pozwalają na deskrypcję naprawdę wielu informacji. Nie potrzeba wielkich zdolności informatycznych, aby kod kreskowy z karty pokładowej Kingi Rusin, widoczny na jej Facebooku, wrzucić do sprawdzenia na stronie takiej jak Barcode Reader. Widząc wpis na jej profilu, robię to… i po kilku sekundach otrzymuję informację:
…ale tak naprawdę nie trzeba było nawet uciekać się do takich działań. Dlaczego? Ponieważ wszystkie istotne informacje zawarte są już na samej karcie pokładowej, otwartym tekstem! Na ten moment najistotniejszy jest numer rezerwacji oraz nazwisko pasażera. To wszystko, a także znacznie więcej – w tym numer biletu (ETKT) – jest doskonale widoczne na screenie z Facebooka Kingi Rusin. Wystarczy się nieco uważniej przyjrzeć.
Wciąż nie dowierzając, wchodzę na stronę Lufthansy w sekcję „Moje Rezerwacje”… i po prostu wpisuję pełne nazwisko, widoczne na karcie pokładowej (RUSINLIS) oraz numer rezerwacji. Efekt?
Widzę wszystkie wrażliwe informacje, w tym także dane osobowe i szczegóły rejsów lotniczych Kingi Rusin. Pisząc „wszystkie” mam na myśli → wszystkie. Serio. Przed oczami mam m.in.:
- dane karty kredytowej (część zasłonięta) oraz numer konta stałego klienta w Lufthansie (Frequent Flyer, rozpoczyna się od cyfr 9922);
- szczegóły wcześniejszych i przyszłych połączeń (przykład: z Los Angeles do Frankfurtu Kinga Rusin leciała w klasie biznes, podobnie jak trasę do Los Angeles z Warszawy. Z kolei lot do Warszawy miała odbyć w klasie ekonomicznej, na miejscu w środku, czyli „B”);
- dane osobowe, w tym pełne brzmienie imion i nazwisko (drugie imię Kingi Rusin to Judyta) czy datę urodzenia;
- pełne dane paszportowe, łącznie z jego numerem i datą ważności (kończy się pod koniec października 2020 r.);
Czy to koniec widocznych informacji? Ależ skąd! Każda osoba, która zalogowałaby się na stronie Lufthansy danymi, które podała Kinga Rusin w swojej karcie pokładowej prezentowanej na Facebooku, mogłaby poznać chociażby szczegóły dotyczące numeru wizy do USA, posiadanej przez dziennikarkę – jak również inne informacje, przekazywane przez linie lotnicze władzom USA w ramach programu Advance Passenger Information System (APIS). Albo szczegółowe dane adresowe miejsca, gdzie Kinga Rusin miała przebywać w Los Angeles. Albo… i tutaj może postawię kropkę, nie rozwijając dalej tego tematu 😉
DZIAŁANIE I KONTAKT
O czym tak naprawdę jest mowa? O poważnych rzeczach. Tego typu dane w rękach osoby nieuprawnionej, która chciałaby zrobić z nimi coś niedobrego (dla Kingi Rusin), są po prostu bezcenne. Umówmy się: wszystko jest podane na talerzu i woła „wykorzystaj mnie”. Trzeba działać i zapobiegać – decyduję się na błyskawiczne wysłanie wiadomości na facebookowym profilu Kingi Rusin, opisując skrótowo istotę problemu i to, co powinna zrobić. Odpowiedź? Cisza.
…czas mija, wpis z kartą pokładową na podróż niemiecką linią lotniczą Lufthansa wciąż beztrosko wisi na profilu Kingi Rusin (przypomnijmy: obserwuje go 145 tys. osób). W sumie powinienem dać sobie spokój, ale robi mi się autentycznie przykro, gdy pomyślę, co mogą z tymi danymi nawywijać ludzie mający złe intencje.
Tu naprawdę spektrum możliwych problemów jest szerokie. Kilka kliknięć dzieli potencjalnych „bad guys” od głupiej zabawy, w rodzaju zmiany posiłku na pokładzie – podczas lotu – na dania koszerne albo dziecięce. Lub na zamówienie asysty na lotnisku: w takim wypadku na Kingę Rusin czekałaby specjalna osoba z wózkiem inwalidzkim, która w założeniu miałaby jej pomóc przedostać się z samolotu do terminalu portu lotniczego.
Gorzej, że równie dobrze można anulować wszystkie przyszłe loty, które byłyby zakupione i w formie gotowych biletów czekałyby na odbycie podróży. Lub dokonać zakupu przelotów z wykorzystaniem zdobytych mil. Kuszące wydaje się również podwyższenie standardu podróży… 😉
O danych osobowych, które mogą posłużyć do wszelakich wyłudzeń i nadużyć, nawet nie wspominam: w tej sytuacji jedynym sensownym rozwiązaniem jest natychmiastowe zastrzeżenie paszportu i wyrobienie nowego dokumentu.
Decyduję się na wysłanie dodatkowej wiadomości na komunikatorze Messenger, licząc, że zostanie szybciej dostrzeżona niż wpis na Facebooku. Znajduję również numer telefonu do Kingi Rusin, ale prawdopodobnie jest nieaktualny, bo nikt nie odpisuje na SMSa.
Tymczasem pod moim komentarzem na profilu facebookowym Kingi Rusin zaczynają pojawiać się także inne komentarze, które pokazują, że internauci doceniają powagę sytuacji i skalę błędu, związanego z umieszczeniem takich danych w publicznym miejscu sieci. Wiele osób dodaje reakcję emotikonkami – dominuje buźka, która oznacza śmiech 😉
Po kilku godzinach wpis z feralną kartą pokładową… znika. Wraz z nim oczywiście znikają również wszystkie komentarze. Po całej historii nie zostaje ślad.
Czy ktoś odpisał na komentarz umieszczony na profilu facebookowym Kingi Rusin? Nie. Czy ktoś odpisał na wiadomość wysłaną na Messengerze? Nie. Czy ktoś skontaktował się ze mną (telefonicznie, SMSowo, w dowolnej innej formie) w trakcie miesiąca, który minął od opisywanej historii? Nie. A co pojawia się na mediach społecznościowych Kingi? Kolejne promocyjno-zasięgowe posty.
OSTRZEŻENIE I PORADA
Tak jak napisałem wyżej: wczoraj spotkało to Kingę Rusin, jutro może być udziałem każdego turysty, który pochwali się kartą pokładową w swoich mediach społecznościowych. Facebook, Instagram, TikTok, X (czyli Twitter) – każdy z tych serwisów kusi możliwościami bycia na bieżąco z wszystkimi obserwującymi, fanami, rodziną, przyjaciółmi. Nawet podczas podróży na drugi koniec świata. Ale niekiedy warto zastanowić się, czy naprawdę WSZYSTKO trzeba wrzucać w sieć?
Karta pokładowa to klucz. Czy beztrosko oddalibyście swoje klucze do domu obcym osobom, wraz z adresem i informacjami, kiedy nie ma was w domu? Dopóki biometryczne metody boardingu nie wyprą tradycyjnych kart pokładowych – niezależnie od formy, papierowej lub jako elektroniczny plik – traktujmy je jako ważny dokument, mówiący o nas wiele. Nie publikujmy ich w mediach społecznościowych (nawet z zamazanymi danymi) – kod BCBP jest bardzo łatwy do deskrypcji.
Co ciekawe, samo stosowanie kodów kreskowych na kartach pokładowych to stosunkowo świeża historia, dość interesująca… i przynosząca oszczędności (w porównaniu do kart magnetycznych) w wysokości 1,5 mld USD rocznie. Więcej informacji na ich temat można przeczytać na stronach Międzynarodowego Zrzeszenia Przewoźników Powietrznych (IATA).
Po co powstał ten tekst? Dla przestrogi: warto zapamiętać, że dane zawarte na karcie pokładowej mogą mówić o nas więcej, niż nam się wydaje. Bądźcie świadomymi podróżnikami, nie sprowadzajcie na siebie (sami!) kłopotów, zwłaszcza podczas wojaży po Europie i świecie.
Od momentu pierwotnej publikacji tego artykułu część z linii lotniczych oraz systemów lojalnościowych, w których podróżni zbierają lotnicze mile, delikatnie zmodyfikowała swoje systemy IT, które wprowadzają dodatkowe warstwy zabezpieczeń przy logowaniu lub dostępie do danych wrażliwych oraz w samych danych, które są wyświetlane. Ale to kropla w morzu (realnych) potrzeb.
Z perspektywy czasu żałuję, że Kinga Rusin – abstrahując od faktu braku reakcji i kontaktu – nie posłuchała apelu, który podnosiło więcej osób:
Może warto było poświęcić fragment jednego z programów Dzień Dobry TVN – które w tym czasie współprowadziła Kinga – takiej właśnie tematyce? Całość znakomicie wpisałaby się w poradnikowy charakter programu.
Na szczęście media – nie tylko turystyczne i zajmujące się bezpieczeństwem, ale również informacyjne, mainstreamowe i operujące w zakresie popkultury / tematyki lifestyle – podjęły temat. Reszta? Cóż, reszta jest już historią…
omentarzy
Znajomy ma firmę i prowadzi profile (w tym FB) różnych celebrytów.
Wiadomości wysyłanych messengerem, na profilu osoby o takiej popularności nikt nie czyta, czasami jest jedynie autoresponder.
Osoba która ma 100tys aktywnych obserwujących, prawdopodobnie dostaje kilkaset wiadomości dziennie od różnych osób.
W 99% z pierdołami typu prośby o pomoc finansową, zaczepki, głupie teksty, czy po prostu fanów którzy chcą się zakolegować itp.
Twojej wiadomości prawie na pewno nikt nie przeczytał, a już raczej na pewno się nad nią nie zastanawiał – i to niezależnie czy profil ten prowadzi faktycznie pani Rusin, czy ma do tego zatrudnioną agencję czy inną osobę.
Celny komentarz, dzięki za niego! Próbowałem poinformować o tym różnymi kanałami, nie tylko stricte internetowymi. Ktoś to widział, ktoś w końcu zareagował, post z felernym zdjęciem karty pokładowej sam się nie usunął. Pytanie, co było dalej…
Trzeba było dać znać Niebezpiecznikowi – wiadomość od nich raczej prędzej by ktoś przeczytał i na nią zareagował…
kolejny dowód, że kinia to…
Swoją drogą wypływa z tego jeszcze jeden wniosek, że zużyte bilet/karty pokładowe powinny trafić do niszczarki a nie śmietnika, w drugą stronę, opisana sytuacja świadczy też o niedojrzałości linii lotniczej bo dostęp do wymienionych informacji powinien być zabezpieczony autoryzacją opartą o inne factory niż nazwisko i numer rezerwacji.
Ciekawa sprawa. W sensie: jak zabezpieczyć się, z punktu widzenia linii lotniczej, przed takimi działaniami? Może jakaś dodatkowa autentykacja? Hipotetycznie: kod SMS? Dodatkowe hasło? Cokolwiek?
Jak się zabezpieczyć? Zwyczajnie: login i hasło, tak jak w każdym serwisie. Przy zakupie pierwszego biletu w danej linii powinno być automatycznie zakładane konto, i trzeba sobie wybrać login i hasło do tego konta. Wtedy żadne dane z karty pokładowej nikomu nic nie dadzą, jeżeli nie zna loginu i hasła.
Może to dobry pomysł? Generalizując: każdy sposób (cokolwiek) będzie lepszym rozwiązaniem niż to, co jest teraz → czyli brak zabezpieczenia.
w CX jak wpiszesz nr rezerwacji i nazwisko to zobaczysz podstawowe informacje, ale żeby dokonywać zmian musisz wpisać również numer biletu – jednocześnie nr biletu ani rezerwacji nigdy nie jest drukowany na karcie pokładowej – oczywiście tak jak piszesz zawsze ktoś może zeskanować kod w którym zawarte są obie informacje
mała, ale istotna, korekta: nie widzisz żadnych danych karty kredytowej. Nigdy nie widać – jedynie ostatnie 4 cyfry (ew. pierwsze 4 cyfry również). Karty kredytowe nie zaczynają się od dziewiątki! Najprawdopodobniej mylisz z numerem FQTV M&M…
Z oczywistych względów nie mam teraz dostępu do tych informacji. Prawdopodobnie masz rację w kwestii numeru zaczynającego się od 99 (edit/ masz rację). Tyle, że tam były też inne dane…
Jak dobrze pamiętam to wynika wprost z PCI DSS (sekcja 3.3).
zeby podziekowac trzeba byc najpierw czlowiekiem
Bardzo fajny tekst. Gratulacje. Wiele się nauczyłem.
@khardin – takie właśnie było jedno z moich założeń: ten tekst miał spełniać rolę „edukacyjną”. Jeżeli chociaż jedna osoba – po jego przeczytaniu – nie będzie w ten sposób postępować (szafować swoimi kartami pokładowymi w mediach społecznościowych), uznam, że było warto.
@raf – jak wyżej 🙂
jakos mi nie szkoda…
Pani Rusin jest osobą, która kasuje komentarze bez uwielbienia i pochwały jej osoby, a ludzi po prostu blokuje. Stąd taki dobry PR na jej profilach i pochwały. To co mówią o Rusin na mieście jest prawdą, to jest osoba zadufana i zarozumiała, która uważa się lepszą od innych, choć jest tylko prezenterką.
Raf, nieogary nawet tej informacji nie wykorzystaja, a ludzie ogarnieci nie potrzebuja tego wpisu. Sam zajmowalem sie bezpieczenstwem i bylem ciekaw jak to autor opisal i musze powiedziec, ze sposob w jaki wyluskal informacje z karty pokladowej sa powszechnie znane ludziom ,ktorzy wiedza jak takie systemy dzialaja.
Dokładnie o tym piszę. To nie jest wiedza tajemna, jakieś sprytne hokus-pokus i skomplikowany układ luster. Wszystko sprowadza się do prostego przykazania: jeżeli trzymasz w dłoni dokument (jakikolwiek), gdzie są Twoje dane osobowe – zachowaj go dla siebie… a nie wrzucaj w media społecznościowe.
Brak zwyklego dziekuje to poprostu oznaka pogardy. Niestety takie mamy czasy, ze kultura i klasa nie idzie w parze z zajmowanym stanowiskiem. Z tego co przegladalem, to pani Kinga dzieli sie zbyt wieloma informacjami, wiec to tylko kwestia czasu kiedy jej ktos wytnie jakis brzydki numer. Nie jest mi zal takich ludzi jak ona.
Pingback: Nie daj się okraść podczas urlopu. Szybki poradnik, jak nie paść ofiarą cyberprzestępców w czasie wakacji. | bezpieczny.blog
Pingback: Wskazówki bezpieczeństwa podczas urlopu – CyberCiekawostki
Pingback: Jak można było zdobyć numer telefonu / numer paszportu byłego premiera Australii? Zamieścił to niewinne zdjęcie na Instagramie...