29/08/2016

Nigdy nie udostępniaj w internecie zdjęć biletów z kodami kreskowymi

Informacje Zagrożenia

Eksperci pracujący w branży bezpieczeństwa oraz w mediach ostrzegają przed publikowaniem w Sieci zdjęć swoich biletów. Wielu ludzi bierze sobie tę poradę do serca, jednak nie wszyscy. W mediach społecznościowych co chwilę ktoś publikuje zdjęcia biletów, zwłaszcza na Instagramie — wszystkie oznaczone hasztagiem #tickets.

ticket-featured

Dlaczego jest to zły pomysł?

Problem w tym, że ludzie, którzy umieszczają zdjęcia biletów na przyszłe wydarzenia, zapominają zakryć kod kreskowy i znajdujące się pod nim cyfry. Takie informacje mogą zostać skopiowane i użyte do wykonania kopii biletów — a następnie ich odsprzedania lub odwiedzenia wydarzenia na koszt ofiary.

Taka sama zasada dotyczy biletów lotniczych: wprawdzie nikt nie usiądzie za Ciebie w samolocie, ale może dosłownie zmarnować Ci podróż — zarezerwować najgorsze miejsca lub nawet anulować bilet powrotny. Wszystkie informacje, które są do tego wymagane, znajdują się na biletach lotniczych, zatem lepiej nie umieszczaj ich online.

Czy to naprawdę może się przydarzyć?

Pewna kobieta z Australii, o imieniu Chantelle, wygrała w wyścigach konnych Melbourne Cup 825 dolarów. Po tym, jak opublikowała w internecie swoje zdjęcie ze szczęśliwym biletem, straciła wszystkie pieniądze.

Każde duże wydarzenie przyciąga uwagę cyberprzestępców. W zeszłym roku mieszkaniec Wielkiej Brytanii stracił 5,5 milionów funtów, gdyż padł ofiarą oszustwa biletowego. Na szczycie listy takich oszustw znajdują się duże wydarzenia sportowe, takie jak Rugby World Cup czy Euro 2016. Tuż za nimi plasują się koncerty i festiwale.

Usługi sprzedaży biletów zazwyczaj mają zasadę, zgodnie z którą klienci nie mogą przekazywać danych znajdujących się na bilecie osobom trzecim, zatem publikowanie zdjęcia swojego biletu jest równoznaczne z udostępnieniem swoich danych każdej osobie, która je zobaczy. Jeśli ktoś lekceważy ich zasady, winę za nieprzyjemności może zawdzięczać tylko sobie.
Umieszczanie biletów online to także świetny sposób na poinformowanie włamywaczy o tym, kiedy nie będzie nas w domu.

Jaki cel ma sprzedaż biletów imiennych, jeśli można je sfałszować?

Gdy jakaś osoba umieszcza zdjęcie swojego biletu online, może w ten sposób uruchomić łańcuch wydarzeń polegający na tym, że oszust podrobi bilet i sprzeda go innym osobom. Jeśli nowy nabywca pojawi się na miejscu jako pierwszy i użyje sfałszowanego biletu, wszyscy pozostali – wraz z pierwotnym nabywcą — nie będą mogli uczestniczyć w wydarzeniu. Czy można w jakiś sposób rozwiązać ten problem? Teoretycznie osoby odpowiedzialne za wydarzenie mogą sprawdzać podczas wejścia dowód tożsamości — coś na kształt dwuetapowej weryfikacji, lecz w prawdziwym życiu takie podejście jest trudne w zastosowaniu.

Z kolei kontrola polegająca na sprawdzaniu biletów wraz z nazwiskiem nabywcy może wywołać irytację. Ponadto nie jest to praktyczne: jeśli na wydarzeniu mają pojawić się setki ludzi, można dosyć sprawnie sprawdzić ich dowody, jeśli jednak impreza gromadzi 30 000 osób — jest to niemal niemożliwe. Wyobraź sobie koncert, który się nie rozpoczyna, ponieważ odwiedzający stoją godzinami w kolejce do kontroli. Nikt nie chce, aby ominął go początek koncertu z powodu zaostrzonej kontroli.

Co więcej, na imprezy masowe nie warto zabierać dowodów, praw jazdy, paszportów czy innych dokumentów oficjalnie potwierdzających naszą tożsamość— mogą one z łatwością zostać skradzione nam w tłumie. Z drugiej strony menedżerowie koncertu mogą zrobić ukłon w stronę ofiar i zaproponować im miejsca — nawet jeśli nie będą one tak dobre, jak te, jakie kupili wcześniej. Jednak sytuacja taka ma też swoje wady: niektóre osoby jej nadużywają, oddając bilety znajomym, aby mogli wejść za darmo, a następnie idą do menedżerów koncertu, aby rozwiązać „problem”. Dlatego wiele osób sprawdzających bilety nie wierzy ludziom, których bilety zostały już użyte.

Niestety nie ma na to uniwersalnego rozwiązania — trzeba wynaleźć nowy system identyfikacji biletów. A do tego czasu wszyscy musimy zachować ostrożność i nigdy nie publikować w Sieci biletów ani dokumentów.

Czy istnieje sposób na bezpieczne pochwalenie się biletem?

Tak, jest taki sposób, choć jest on bezpieczny tylko w połowie. Jeśli chcesz opublikować w internecie zdjęcie biletu, musisz wiedzieć, co należy zakryć. Dowiedz się, co to są kody kreskowe i na czym polegają.

Kody kreskowe 1D używane są do kodowania niewielkich porcji informacji, a kody 2D zawierają w sobie większą liczbę danych.

Kod kreskowy 1D opiera się na kodzie binarnym. Każdej cyfrze binarnej odpowiada 7 linii, które mogą być białe lub czarne. Czasami czarne paski nie są oddzielone białymi, przez co są one grubsze. Ostatnie paski kodu są zazwyczaj cyframi kontrolnymi, które są wykorzystywane do potwierdzenia dokładności odczytu. Bilety kinowe, koncertowe i lotnicze często zawierają kilka cyfr kontrolnych, które potwierdzają dane umieszczone w kodzie kreskowym.

Jednym z najczęściej spotkanych kodów 2D jest kod QR. Przeważnie jest on używany do szybkiego otwierania stron internetowych na urządzeniach mobilnych, choć nie zawsze: możesz na przykład znaleźć je na indyjskich biletach pociągowych IRCTC. Wiele lotniczych kart pokładowych także zawiera kod 2D (niedokładnie QR, lecz PDF417).

Kody 2D składają się z czarnych i białych kwadratów, które również oznaczają 1 i 0. Jednak kody 2D są znacznie bardziej skomplikowane niż te w wydaniu 1D, ponieważ zazwyczaj mają nie tylko kilka cyfr kontrolnych, ale także specjalne obszary używane do rozpoznawania kodów 2D przez aparaty. Na przykład kody QR mają trzy charakterystyczne kwadraty umieszczone w rogach.

Jeśli chcesz opublikować zdjęcie biletu, musisz całkowicie zakryć kod paskowy wraz ze znajdującymi się pod nim cyframi. Osoby sprawdzające bilety używają skanerów tylko do odczytywania kodu, a przestępcy mogą go odtworzyć, posiadając same cyfry.

Ogólnie nie zalecamy umieszczania zdjęć biletów w internecie przed wydarzeniem, nawet jeśli kod zostanie zakryty — przestępcy posiadający odpowiednie doświadczenie w socjotechnice mogą uzyskać brakujące dane zarówno od Ciebie, jak i od Twojego otoczenia. Jeśli chcesz pochwalić się innymi ludziom, zwyczajnie napisz o tym krótką informację.