<b>REISESKRYT:</B> Selv om du er stolt av ditt eksotiske, spennende reismål, bør du ikke legge ut bilder av ombordstigningskortet ditt. Foto: DINSIDE
REISESKRYT: Selv om du er stolt av ditt eksotiske, spennende reismål, bør du ikke legge ut bilder av ombordstigningskortet ditt. Foto: DINSIDEVis mer

Ikke legg boardingkortet ut på Facebook

SAS og sikkerhetseksperter advarer.

Du har bestilt tur til Hawaii, og vil gjerne vise vennene dine beviset. Dermed legger du ut et smilende bilde av deg selv med ombordstigningskortet i hendene.

Det bør du absolutt ikke gjøre, mener både flyselskaper og sikkerhetseksperter.

For i verste fall kan uvedkommende både avbestille turen, endre på seteplasseringen og få tilgang til både reisehistorikk, bonuspoeng og framtidige reiseplaner.

- Kommer rett inn på kontoen

- Vi har hittil ikke registrert noe tilfelle der dette har skjedd. Men at man bør være forsiktig, er det ingen tvil om. Ved hjelp av QR- eller strekkode på kortet kommer du rett inn på kontoen, og dermed kan du gjøre endringer som bare passasjeren selv skal kunne gjøre, sier informasjonssjef Knut Morten Johansen i SAS til Dinside.

ADVARER: Informasjonssjef Knut Morten Johansen i SAS synes ikke det er noen god idé å legge ombordstigngsningskortet ut på Facebook. Foto: BJORN H STUEDAL/SAS Vis mer


Han mener folk bør tenke seg om før de legger ut bilder der opplysninger på ombordstigningskortet er synlige.

- Du bør behandle boardingkortet som et verdidokument, på lik linje med kredittkortet ditt. Ingen ville vel finne på å legge ut bilder av kortene sine på nettet, sier Johansen.

Så mye ugagn kan de gjøre

På bloggen Krebs On Security forteller sikkerhetseksperten Brian Krebs hva uvedkommende kan gjøre dersom de får tilgang til ombordstigningskortet ditt via Facebook eller et annet nettsted.

Navn, reisedato, rutenummer og tidspunkt står allerede i klartekst på kortet. Å lese av de kryptiske strekkodene som befinner seg på kortet er også en smal sak. Det finnes egne nettsider som forklarer hvordan du leser av og tyder disse kodene, og som tilbyr passende programvare gratis. Den internasjonale flybransjen bruker i tillegg forutsigbare kodestandarder som ikke er vanskelige å få tak i.

STREKKODER: På nettet finnes programvare som gjør at alle kan lese informasjonen. Foto: INLITE RESEARCH Vis mer


Dette i tillegg til all informasjonen som står i klartekst, kan gjøre at uvedkommende både kan skaffe seg oversikt over bonuspoengene dine, hvor du har flydd og hvor du skal fly hen. De kan til og med booke om, avbestille og booke nye billetter i ditt navn.

Prøvde det i praksis

En leser av Kreb-bloggen som kaller seg «Cory» prøvde dette i praksis med et ombordstigningskort fra Lufthansa som tilhørte en kamerat han fikk samtykke av.

I tillegg til navnet, bonusnummeret og andre personopplysninger fikk han også tak i databasenøkkelen (record locator). Dette er flyselskapets interne kode som indikerer hvilken flyvning og passasjer det er snakk om.

Ved hjelp av denne nøkkelen kunne «Cory» enkelt bevege seg videre i Lufthansasystemet. Ved hjelp av etternavnet på passasjeren (som både står i klartekst på kortet og som er registrert i strekkoden) fikk han tilgang til passasjerens konto - uten å måtte gå inn med brukernavn og passord.

Kunne avbestille og endre

Der lå det ikke bare opplysninger fra Lufthansa, men fra hele Star Alliance-systemet. Vårt hjemlige SAS er medlem der, sammen med en rekke andre flyselskaper.

I databasen lå også telefonnummeret til en venn som passasjeren hadde oppgitt som kontakt i nødstilfeller. Navnet på den som hadde bestilt flyturen (som ikke var den samme som passasjeren) lå der også.

OPPLYSNINGER: Svært mye kan leses ut av ombordstigningskortet. Foto: KREBSONSECURITY Vis mer


«Cory» var nå i stand til å endre seteplasseringen for samtlige av passasjerene som var knyttet til bestillingen og avbestille billettene både for denne flyturen og framtidige flyturer som var bestilt av samme person.

Ikke kast den i søpla

Krebs påpeker også at informasjonen også gjør det lettere å endre PIN-koden til kontoen, siden det første steget allerede er gjort. Dermed gjenstår det bare å gjette seg fram til svaret på sikkerhetsspørsmål som «hva er din mors pikenavn».

Ofte kan slik informasjon finnes i Facebook-kontoen til vedkommende. Er vennelisten åpen, kan man for eksempel bruke denne for å fiske etter svaret.

Det er selvsagt heller ikke så smart å kaste ombordstigningskortet i papirkurven når du kommer hjem fra reisen. Kriminelle (eller i beste fall spøkefugler) kan plukke det opp og skape trøbbel for deg.

Mange bruker i dag hel-elektronisk innsjekking. Men også her er det viktig å ikke legge ut bilder med gjenkjennelige koder fra mobil- eler PC-skjerm. Disse kan leses av på samme måte som på papirkortene.