假期里的每一天都是寶貴的，如果你打算坐飛機(jī)去哪兒旅游的話，你很可能會在機(jī)場先曬一波登機(jī)牌，但是當(dāng)你準(zhǔn)備把它曬到社交平臺（例如Facebook、Instagram和微博）的話，我建議你先考慮清楚。

一次去往香港的旅行

我認(rèn)識Petr Mara已經(jīng)很多年了，他是一個非常nice的人。他不僅是一名演說家、培訓(xùn)師和視頻主播，而且他還是一名iOS&macOS開發(fā)人員。除此之外，他也很喜歡旅游。他和他的老婆在2016年5月份曾去往香港慶祝他老婆的生日，但Petr并沒有告訴我他準(zhǔn)備去多久。但是出于好奇心我得想辦法知道他要去多久，而我在他曬出的登機(jī)牌（飛機(jī)起飛前發(fā)在了Instagram）上發(fā)現(xiàn)了客票訂單號YJVFKG以及一個條形碼。

這架從倫敦起飛的航班到香港大約要12個小時，為了弄清楚Petr的返程日期，我可以先上英國航空的官網(wǎng)搜索一下這個客票號。打開搜索頁面之后，我看到了一個“礙眼”的紅色按鈕，你知道的，每當(dāng)你看到紅色的按鈕，你想辦法點一下總是沒錯的。于是填寫好相關(guān)信息之后，我點擊了這個紅色按鈕。

英國航空需要確定是Petr本人正在嘗試修改信息，而我可以直接輸入他的護(hù)照號或生日，雖然我不知道他的護(hù)照號，但我可以在他的Facebook資料中找到他的生日以及捷克共和國的商業(yè)登記表。相對其他信息來說，生日一般可以算是某種公開信息了，，而且生日也可以反映在稅號或商業(yè)登記表的VAT編號上，因此它并不能算是什么秘密。

最終，我找到了他的護(hù)照號！而且我甚至還可以修改它。這樣一來，我就可以想辦法讓Petr在香港再多呆幾天了。我可以把他的護(hù)照號改成某個全球通緝的罪犯的護(hù)照號，但我并沒有這樣做。我把這一切告訴了Petr，而且我還跟他道了歉，因為我的操作讓他在24小時之內(nèi)都無法訪問航空公司的訂票頁面了（因為我曾嘗試猜測他老婆的生日）。不過還好，Petr原諒了我。不過這也給他上了一課：當(dāng)你想曬登機(jī)牌的時候，該打碼的地方一定要打碼！

社交平臺上隨處可見的登機(jī)牌

你可以在很多社交平臺上找到大量的登機(jī)牌照片，有些人會自作聰明地給自己的名字和其他信息打碼，但登機(jī)牌上的二維碼他們卻置之不理。比如說下面這個例子，這個登機(jī)牌屬于一位名叫Anna的年輕姑娘：

Anna的全名是Anna Ferencakova，這張登機(jī)牌是她當(dāng)初在2017年4月份從布拉格到塞爾維亞的貝爾格萊德所用的，這一切當(dāng)你掃描了上面的條形碼之后你自然就知道了。

由于現(xiàn)在越來越多的人開始使用各種智能設(shè)備，條形碼或二維碼甚至可以直接在智能手表上直接顯示，下面這張圖片顯示的是一張登機(jī)牌上的Aztec code（一種二維碼），這種圖碼中包含的信息與以前紙質(zhì)版登機(jī)牌上的信息是一樣的，但是有了智能手表，你就不需要再打印紙質(zhì)登機(jī)牌了，你只需要在登機(jī)時伸手掃描一下就可以了，這就是高科技…

這個手表是Stephen Fenech的，他當(dāng)時是從舊金山直飛紐約。跟剛才一樣，我也是掃了他的Aztec code才知道的。Aztec code中還包含一個非常重要的信息：即飛行常旅客編號。Fenech先生的美國航空常旅客編號為4708760。關(guān)于登機(jī)牌的更多內(nèi)容，大家還可以參考《智能手表與登機(jī)牌的陷阱》。

　　竊取賬號

在社交平臺上搜索登機(jī)牌時，我發(fā)現(xiàn)了一個Aztec code，這個登機(jī)牌是一個男性乘客發(fā)出來的（部分信息已打碼）。他在某個特定領(lǐng)域內(nèi)算是個名人，而且Twitter有12萬多的粉絲。圖片中的二維碼包含了他的美聯(lián)航常旅客編號。而美聯(lián)航會將這種常旅客號當(dāng)成一種超級訪問密碼，一般他們在官方信件上打印這種號碼時都只會打印最后三位數(shù)字，剩余部分則不會打印出來（像密碼一樣用*代替）。當(dāng)然了，Aztec code中顯示的是完整的飛行常旅客號，所以我覺得可以用這個編號來入侵這個人的賬號。

所以我進(jìn)入了美聯(lián)航的官網(wǎng)，選擇了“忘記密碼”，然后輸入了姓名和Aztec code中包含的飛行常旅客號。接下來的兩個安全問題也是比較簡單的：“你去過的第一個大城市”就是他的出生地，而“你最喜歡的冬季活動”在阿爾卑斯山區(qū)肯定也不會是高爾夫。系統(tǒng)識別成功之后，我就可以給他的賬號設(shè)置一個新的密碼了。

其實我并沒有設(shè)置新的密碼，因為我也不想給他人帶來不必要的麻煩。但我像之前一樣，我也給這個人發(fā)了一條信息，并提醒他以后曬登機(jī)牌的時候一定要注意。

任何帶有條碼的圖片都不要曬！

很多人在發(fā)一條狀態(tài)或者照片時，他們其實往往都不知道這種行為意味著什么。因為一眼看過去，其實你并看不出什么有價值的內(nèi)容，但是你所認(rèn)為沒價值的東西在某些人眼里就是非常有價值的。所以當(dāng)你想要在社交平臺上曬什么東西之前，一定要考慮清楚，該打碼的地方一定要打碼。不過友情提醒一下，馬賽克也許根本救不了你…

* 參考來源：michalspacek，F(xiàn)B小編Alpha_h4ck編譯，轉(zhuǎn)載請注明來自FreeBuf.COM