Od historii, którą opisuję poniżej, minął równy miesiąc. Nie wie o niej (prawie) nikt. Uważam, że warto się nią podzielić. Upublicznić, także ku przestrodze. Ale również pokazać, że każdy turysta musi mieć się na baczności, nie wyłączając myślenia podczas swojej podróży!

Dzisiaj spotkało to dziennikarkę, prezenterkę, biznesmenkę i (nieco) celebrytkę – jutro może przydarzyć się dowolnej innej osobie: podróżnikowi, backpackersowi, turyście… czy zwykłemu pasażerowi.


Cofamy się zatem do połowy maja. Kinga Rusin, znana dziennikarka i prezenterka telewizyjna, relacjonuje w mediach społecznościowych swój wyjazd do Stanów Zjednoczonych. Na swoim facebookowym profilu (obserwowanym przez ponad 131 tys. osób) dzieli się zdjęciami z parku narodowego Joshua Tree, z kalifornijskiej pustyni, pozuje przy kabriolecie i w rozmaitych ciekawych miejscach. Jak sama pisze do swoich fanów:

– Przyjechałam tu głównie w interesach, aby rozmawiać o kolejnych składnikach dla naszych kosmetyków Pat&Rub, w ramach zaplanowanej współpracy z laboratoriami na sześciu kontynentach.

Super, gratuluję rozwoju biznesu. Szczerze, doceniam! Kinga Rusin – lub osoba obsługująca jej profil w mediach społecznościowych – chce dzielić się dosłownie wszystkim. I w ów dość upalny wieczór, 9 maja, na jej Facebooku nagle pojawia się taki post:

Bilet lotniczy Kingi Rusin (c) 2b3.in
Bilet lotniczy Kingi Rusin w mediach społecznościowych / Screen: archiwum prywatne

Widzę to jako jedna z pierwszych osób, zupełnie przypadkiem (to temat na odrębną opowieść). Próbuję zebrać szczękę z podłogi: wydawało mi się, że temat tego, CZEGO NIE MOŻNA UPUBLICZNIAĆ w swoich mediach społecznościowych, jest powszechnie znany. W piekle znajdują się specjalne beczki ze smołą dla tych, którzy filmują smartfonami, trzymając je w pozycji wertykalnej… oraz tych, którzy beztrosko wrzucają do sieci swoje karty pokładowe.

Na pozór to tylko informacja, że Kinga Rusin będzie lecieć z Frankfurtu do Warszawy, 10 maja. Klasa ekonomiczna, kod kreskowy, nic wielkiego i groźnego. 131 tys. osób, obserwujących Kingę Rusin „w socialach”, może się cieszyć: dziennikarka wraca do Polski, bez żadnych złych przygód. Czyżby?

DANE NA TALERZU

Kinga Rusin zapomniała, że czasy się zmieniły. Narzędzia internetowe – dostępne dla laików – pozwalają na deskrypcję naprawdę wielu informacji. Uwierzcie mi, nie potrzeba wielkich zdolności informatycznych, aby kod kreskowy z karty pokładowej Kingi Rusin, tak pięknie widoczny na jej Facebooku, wrzucić do sprawdzenia na stronie takiej jak Barcode Reader. Widząc wpis na jej profilu, robię to… i po kilku sekundach otrzymuję informację:

Bilet lotniczy Kingi Rusin (c) 2b3.in
Szczegóły kodu kreskowego z biletu Kingi Rusin / Screen: archiwum prywatne

…ale tak naprawdę nie trzeba było nawet uciekać się do takich działań. Dlaczego? Ponieważ wszystkie istotne informacje zawarte są już na samej karcie pokładowej, otwartym tekstem! Na ten moment najistotniejszy jest numer rezerwacji oraz nazwisko pasażera. To wszystko, a także znacznie więcej – w tym numer biletu (EKTK) – jest doskonale widoczne na screenie z Facebooka Kingi Rusin. Wystarczy się nieco uważniej przyjrzeć.

Wciąż nie dowierzając w głupotę / niewiedzę (niepotrzebne skreślić), wchodzę na stronę Lufthansy w sekcję „Moje Rezerwacje”… i po prostu wpisuję pełne nazwisko, widoczne na karcie pokładowej (RUSINLIS) oraz numer rezerwacji. Efekt?

Widzę wszystkie wrażliwe informacje, w tym także dane osobowe i szczegóły rejsów lotniczych Kingi Rusin. Pisząc „wszystkie” mam na myśli → wszystkie. Serio. Przed oczami mam m.in.:

  • dane karty kredytowej oraz numer konta stałego klienta w Lufthansie (Frequent Flyer, rozpoczyna się od cyfr 9922);
  • szczegóły wcześniejszych i przyszłych połączeń (przykład: z Los Angeles do Frankfurtu Kinga Rusin leciała w klasie biznes, podobnie jak trasę do Los Angeles z Warszawy. Z kolei lot do Warszawy miała odbyć w klasie ekonomicznej, na miejscu w środku, czyli „B”);
  • dane osobowe, w tym pełne brzmienie imion i nazwisko („drugie imię” Kingi Rusin to Judyta) czy datę urodzenia;
  • pełne dane paszportowe, łącznie z jego numerem i datą ważności (kończy się pod koniec października 2020 r.);
Dane osobowe Kingi Rusin (c) 2b3.in
Fragment danych osobowych Kingi Rusin… / Screen: archiwum prywatne

Czy to koniec widocznych informacji? Ależ skąd! Każda osoba, która zalogowałaby się na stronie Lufthansy danymi, które podała Kinga Rusin w swojej karcie pokładowej prezentowanej na Facebooku, mogłaby poznać chociażby szczegóły dotyczące numeru wizy do USA, posiadanej przez dziennikarkę – jak również inne informacje, przekazywane przez linie lotnicze władzom USA w ramach programu Advance Passenger Information System (APIS). Albo szczegółowe dane adresowe miejsca, gdzie Kinga Rusin miała przebywać w Los Angeles. Albo… i tutaj może postawię kropkę, nie rozwijając dalej tego tematu 😉

DZIAŁANIE I KONTAKT

O czym tak naprawdę jest mowa? O poważnych rzeczach. Tego typu dane w rękach osoby nieuprawnionej, która chciałaby zrobić z nimi coś niedobrego (dla Kingi Rusin), są po prostu bezcenne. Umówmy się: wszystko jest podane na talerzu i woła „wykorzystaj mnie”. Trzeba działać i zapobiegać – decyduję się na błyskawiczne wysłanie wiadomości na facebookowym profilu Kingi Rusin, opisując skrótowo istotę problemu i to, co powinna zrobić. Odpowiedź? Cisza.

Kontakt z Kingą Rusin (c) 2b3.in
Kontakt z Kingą Rusin / Screen: archiwum prywatne

…czas mija, wpis z kartą pokładową na podróż-lot niemiecką linią lotniczą Lufthansa wciąż beztrosko wisi sobie na profilu Kingi Rusin (przypomnijmy: obserwuje go 131 tys. osób). W sumie powinienem dać sobie spokój, ale robi mi się autentycznie przykro, gdy pomyślę, co mogą nawywijać ludzie z tymi danymi.

Tu naprawdę spektrum możliwych problemów jest szerokie. Kilka kliknięć dzieli potencjalnych „bad guys” od głupiej zabawy, typu zmiana posiłku na pokładzie – podczas lotu – na dania koszerne albo dziecięce. Lub na zamówienie asysty na lotnisku: w takim przypadku na Kingę Rusin czekałaby specjalna osoba z wózkiem inwalidzkim, która w założeniu miałaby jej pomóc przedostać się z samolotu do terminalu portu lotniczego.

Gorzej, że równie dobrze można anulować wszystkie przyszłe loty, które byłyby zakupione i czekałyby na odbycie podróży. Lub dokonać zakupu przelotów z wykorzystaniem zdobytych mil. Kuszące wydaje się również podwyższenie standardu podróży… 😉

O danych osobowych, które mogą posłużyć do wszelakich wyłudzeń i nadużyć, nawet nie wspominam: w tej sytuacji jedynym sensownym rozwiązaniem jest natychmiastowe zastrzeżenie paszportu i wyrobienie nowego dokumentu.


Decyduję się na wysłanie dodatkowej wiadomości na komunikatorze Messenger, licząc, że zostanie szybciej dostrzeżona niż wpis na Facebooku. Znajduję również numer telefonu do Kingi Rusin, ale prawdopodobnie jest nieaktualny, bo nikt nie odpisuje na SMSa.

Kontakt z Kingą Rusin (c) 2b3.in
Kontakt z Kingą Rusin / Screen: archiwum prywatne

W międzyczasie, pod moim komentarzem na profilu facebookowym Kingi Rusin zaczynają pojawiać się także inne komentarze, które pokazują, że internauci doceniają powagę sytuacji i skalę błędu, związanego z umieszczeniem takich danych w publicznym miejscu sieci. Wiele osób dodaje reakcję emotikonkami – dominuje buźka, która oznacza śmiech 😉

Po kilku godzinach wpis z feralną kartą pokładową… znika. Wraz z nim oczywiście znikają również wszystkie komentarze. Po całej historii nie zostaje ślad.

Czy ktoś odpisał na komentarz umieszczony na profilu facebookowym Kingi Rusin? Nie. Czy ktoś odpisał na wiadomość wysłaną na Messengerze? Nie. Czy ktoś skontaktował się ze mną (telefonicznie) w ciągu ostatniego miesiąca, który minął od opisywanej historii? Nie.

OSTRZEŻENIE I PORADA

Tak jak napisałem wyżej: wczoraj spotkało to Kingę Rusin, jutro może być udziałem każdego turysty, który pochwali się kartą pokładową w swoich mediach społecznościowych. Facebook, Instagram, Twitter – każdy z tych serwisów kusi możliwościami bycia na bieżąco z wszystkimi obserwującymi, fanami, rodziną, przyjaciółmi. Nawet w przypadku podróży na drugi koniec świata. Ale niekiedy warto zastanowić się, czy naprawdę WSZYSTKO trzeba wrzucać w sieć?

Karta pokładowa to klucz. Czy beztrosko oddawalibyście swoje klucze do domu obcym osobom, wraz z adresem i informacjami, kiedy nie ma was w domu? Dopóki biometryczne metody boardingu nie wyprą tradycyjnych kart pokładowych – niezależnie od formy, papierowej lub jako elektroniczny plik – traktujmy je jako ważny dokument, mówiący o nas wiele. Nie publikujmy ich w mediach społecznościowych (nawet z zamazanymi danymi) – kod BCBP jest bardzo łatwy do deskrypcji.

Co ciekawe, samo stosowanie kodów kreskowych na kartach pokładowych to stosunkowo świeża historia, dość interesująca… i przynosząca oszczędności (w porównaniu do kart magnetycznych) w wysokości 1,5 mld USD rocznie. Więcej informacji na ich temat można przeczytać na stronach Międzynarodowego Zrzeszenia Przewoźników Powietrznych (IATA).


Po co powstał ten tekst? Dla przestrogi: warto zapamiętać, że dane zawarte na karcie pokładowej mogą mówić o nas więcej, niż nam się wydaje. Bądźcie świadomymi podróżnikami, nie sprowadzajcie na siebie (sami!) kłopotów, zwłaszcza podczas wojaży po Europie i świecie…

A do Kingi Rusin, poza powyższą poradą – i małym zdziwieniem, związanym z totalnym brakiem reakcji i kontaktu, w sumie chyba wystarczyłoby zwykłe: „dziękuję”, nieprawdaż? 😉 – adresuję mały apel:

Może warto poświęcić fragment jednego z przyszłych programów „Dzień Dobry TVN” – które współprowadzi Kinga – takiej właśnie tematyce? Znakomicie wpisywałoby się to w poradnikowy charakter programu.

Kinga Rusin (c) itvn.pl / TVN Media
Kinga Rusin jako prowadząca „Dzień Dobry TVN” / Foto: itvn.pl / TVN Media

28 komentarzy

  1. Znajomy ma firmę i prowadzi profile (w tym FB) różnych celebrytów.
    Wiadomości wysyłanych messengerem, na profilu osoby o takiej popularności nikt nie czyta, czasami jest jedynie autoresponder.

    Osoba która ma 100tys aktywnych obserwujących, prawdopodobnie dostaje kilkaset wiadomości dziennie od różnych osób.
    W 99% z pierdołami typu prośby o pomoc finansową, zaczepki, głupie teksty, czy po prostu fanów którzy chcą się zakolegować itp.
    Twojej wiadomości prawie na pewno nikt nie przeczytał, a już raczej na pewno się nad nią nie zastanawiał – i to niezależnie czy profil ten prowadzi faktycznie pani Rusin, czy ma do tego zatrudnioną agencję czy inną osobę.

    • Celny komentarz, dzięki za niego! Próbowałem poinformować o tym różnymi kanałami, nie tylko stricte internetowymi. Ktoś to widział, skoro zareagował, post z felernym zdjęciem karty pokładowej sam się nie usunął. Pytanie, co było dalej…

      • Trzeba było dać znać Niebezpiecznikowi – wiadomość od nich raczej prędzej by ktoś przeczytał i na nią zareagował…

  2. Swoją drogą wypływa z tego jeszcze jeden wniosek, że zużyte bilet/karty pokładowe powinny trafić do niszczarki a nie śmietnika, w drugą stronę, opisana sytuacja świadczy też o niedojrzałości linii lotniczej bo dostęp do wymienionych informacji powinien być zabezpieczony autoryzacją opartą o inne factory niż nazwisko i numer rezerwacji.

    • Ciekawa sprawa. W sensie: jak zabezpieczyć się (z punktu widzenia linii lotniczej) przed takimi działaniami? Może jakaś dodatkowa autentykacja? Hipotetycznie: kod SMS? Dodatkowe hasło? Cokolwiek?

      • Jak się zabezpieczyć? Zwyczajnie: login i hasło, tak jak w każdym serwisie. Przy zakupie pierwszego biletu w danej linii powinno być automatycznie zakładane konto, i trzeba sobie wybrać login i hasło do tego konta. Wtedy żadne dane z karty pokładowej nikomu nic nie dadzą, jeżeli nie zna loginu i hasła.

        • Może to dobry pomysł? Generalizując: każdy sposób (cokolwiek) będzie lepszym rozwiązaniem niż to, co jest teraz → czyli brak zabezpieczenia.

          • w CX jak wpiszesz nr rezerwacji i nazwisko to zobaczysz podstawowe informacje, ale żeby dokonywać zmian musisz wpisać również numer biletu – jednocześnie nr biletu ani rezerwacji nigdy nie jest drukowany na karcie pokładowej – oczywiście tak jak piszesz zawsze ktoś może zeskanować kod w którym zawarte są obie informacje

  3. mała, ale istotna, korekta: nie widzisz żadnych danych karty kredytowej. Nigdy nie widać – jedynie ostatnie 4 cyfry (ew. pierwsze 4 cyfry również). Karty kredytowe nie zaczynają się od dziewiątki! Najprawdopodobniej mylisz z numerem FQTV M&M…

    • Z oczywistych względów nie mam teraz dostępu do tych informacji. Prawdopodobnie masz rację w kwestii numeru zaczynającego się od 99 (edit/ masz rację). Tyle, że tam były też inne dane…

    • zgadza się się z przedmówcą 🙂 9922 to początkek numeru karty Miles&More – mam na swojej karcie takie same 4 pierwsze cyfry. Na stronach M&M, Lufthansy czy innych nigdy nie ma całego numeru karty

  4. Za mądrze tez nie postapiles publikując komentarz w ktorym podsuwasz pomysl co mozna z tym komus zrobić. Ona jedna, a ty drugi ogarnięty inaczej.

    • Raf, nieogary nawet tej informacji nie wykorzystaja, a ludzie ogarnieci nie potrzebuja tego wpisu. Sam zajmowalem sie bezpieczenstwem i bylem ciekaw jak to autor opisal i musze powiedziec, ze sposob w jaki wyluskal informacje z karty pokladowej sa powszechnie znane ludziom ,ktorzy wiedza jak takie systemy dzialaja.

      • Dokładnie o tym piszę. To nie jest wiedza tajemna, jakieś sprytne hokus-pokus i skomplikowany układ luster. Wszystko sprowadza się do prostego przykazania: jeżeli trzymasz w dłoni dokument (jakikolwiek), gdzie są Twoje dane osobowe – zachowaj go dla siebie… a nie wrzucaj w media społecznościowe.

    • @khardin – takie właśnie było jedno z moich założeń: ten tekst miał spełniać rolę „edukacyjną”. Jeżeli chociaż jedna osoba – po jego przeczytaniu – nie będzie w ten sposób postępować (szafować swoimi kartami pokładowymi w mediach społecznościowych), uznam, że było warto.

      @raf – jak wyżej 🙂

    • Goo, w roku 2019 ekrany kinowe, telewizory, laptopy, a nawet miniaturki filmów na Youtube nadal zorientowane są horyzontalnie. Filmowanie wertykalne to brak ogarnięcia, niezależnie od daty.

      • No nie 🙂 Można filmować na stories albo IG video. Chodzi mi o to, że są zastosowania. Ja też tego nigdy nie trawiłem, ale do gadającej głowy to się nadaje lepiej 🙂 Oglądam w ten sposób vlogi Opydo, mocniej trzymam telefon i jest git.

  5. Pani Rusin jest osobą, która kasuje komentarze bez uwielbienia i pochwały jej osoby, a ludzi po prostu blokuje. Stąd taki dobry PR na jej profilach i pochwały. To co mówią o Rusin na mieście jest prawdą, to jest osoba zadufana i zarozumiała, która uważa się lepszą od innych, choć jest tylko prezenterką.

  6. Brak zwyklego dziekuje to poprostu oznaka pogardy. Niestety takie mamy czasy, ze kultura i klasa nie idzie w parze z zajmowanym stanowiskiem. Z tego co przegladalem, to pani Kinga dzieli sie zbyt wieloma informacjami, wiec to tylko kwestia czasu kiedy jej ktos wytnie jakis brzydki numer. Nie jest mi zal takich ludzi jak ona.

  7. Pingback: Nie daj się okraść podczas urlopu. Szybki poradnik, jak nie paść ofiarą cyberprzestępców w czasie wakacji. | bezpieczny.blog

  8. Pingback: Wskazówki bezpieczeństwa podczas urlopu – CyberCiekawostki

Napisz komentarz