אם תחפשו את ההאשטאג boardingpass# באינסטגרם, תקבלו מאות אלפי תוצאות. ברוב התמונות המוצגות, אנשים מחזיקים את כרטיס העלייה למטוס שלהם, ולרבים אפילו שמם הפרטי ושם המשפחה שלהם ברורים לכולם. רק מעטים טורחים ומפקסלים או מוחקים את השם – אבל בסופו של דבר גם זה לא מגן עליהם מפני גנבי מידע.
כרטיס העלייה למטוס והברקוד הדו-ממדי המודפס עליו מכילים מידע מגוון על הנוסע והטיסה שלו, כפי שמסבירה דוברת לופטהנזה, סנדרה קראפט: "הקודים מכילים את כל הנתונים הקשורים לטיסה, שהם גם מודפסים על כרטיס העלייה למטוס, כגון קוד הזמנה, שמות נוסעים, תאריך, מספר טיסה, מסלול טיסה, סוג נסיעה וכו'".
נתונים רגישים מאחורי הברקוד
מידע נוסף המופיע בכרטיס העלייה למטוס רגיש אף יותר: אם נרשמתם לתוכנית הנוסע המתמיד, מוצג שם גם מספר החשבון המשויך. לדברי דוברת לופטהנזה, קראפט, נוהל זה משמש גם עבור תוכנית הבונוס של החברה: "מספר הלקוח בן 16 הספרות מקודד בברקוד הדו-ממדי ונמצא גם בכרטיס העלייה למטוס".
חברות תעופה מסוימות עדיין מצפינות חלקית את המספר בכרטיס העלייה למטוס. כפי שהראתה בדיקה של רשת השידור האמריקאית CBS Boston, זרים יכולים להשתמש באפליקציות סריקה, וכך הם מקבלים את המספר המלא מהברקוד הדו-ממדי בכל עת. מומחה המחשבים וינסטון קרון, פרץ לחשבון של נוסע מתנדב – לכאורה ללא מאמץ רב. רק שאלת אבטחה אחת נשאלה לרישום: "היינו צריכים לנחש את קבוצת הספורט האהובה עליו", אמר קרון.
>> הכי פשוט שיש: כך תפתרו את הבעיה הכי מעצבנת שיש בטיסות
>> בלי לחכות: ככה המזוודה שלכם תגיע ראשונה למסוע אחרי הנחיתה
גישה לכל הנתונים האישיים
מידע כזה או דומה ניתן לגלות בקלות ברשתות חברתיות, למשל. בנוסף לטיסות שהוזמנו ולסטטוס הנקודות שאספתם, קרון אומר שהוא מציג גם את כל הנתונים האישיים של הנוסע כמו כתובת, מספר טלפון, כתובת מייל, תאריך לידה וכו'. "יכולנו לנסות בקלות לפרוץ לחשבון הבנק שלו עם זה", אומר מומחה המחשבים.
בבדיקה דומה של העיתונאי האמריקני בריאן קרבס, לא נדרשו סיסמה ולא מענה על שאלת אבטחה כדי לקבל גישה לחשבון של הנוסע. ככל הנראה חברת התעופה המדוברת לא הגנה כראוי על פרופיל המשתמש, מה שמצביע על פרצת אבטחה רצינית.
מי שחושב שהנתונים בכרטיס העלייה למטוס ממילא יפוגו לאחר הטיסה, טועה. מכיוון שהברקוד הדו-ממדי או קוד ה-QR, כפי שמשתמשים בו כמה חברות תעופה בכרטיס העלייה למטוס, עדיין פעיל לאחר תום הטיסה. דוברת לופטהנזה, סנדרה קראפט, מסבירה שכאשר נוסע עולה על המטוס לאחר סריקת הברקוד בכרטיס העלייה למטוס, הוא רשום כמי שטס במערכת ה-IT: "כבר לא ניתן להשתמש שוב בכרטיס העלייה למטוס לטיסה אחרת, אבל כן ניתן לאחזר את נתוני הברקוד לאחר מכן".
מה אפשר לעשות?
מצד אחד, למי שיש חשבון נוסע מתמיד או חשבון באתרים של חברות תעופה, כדאי להגן עליהם כראוי באמצעות סיסמה חזקה, בדיוק כמו כל חשבון מקוון אחר המכיל נתונים רגישים. יש לבחור את שאלת האבטחה ולהשיב בצורה כזו שאף זר לא יוכל לעלות על התשובה בקלות, למשל ברשתות חברתיות.
מעל הכל, אסור לפרסם באינטרנט תמונות של כרטיס העלייה למטוס, לא להשאיר את תלוש הבקרה לאחר הטיסה ופשוט לזרוק אותו לפח. דוברת לופטהנזה קראפט: "אנו ממליצים לטפל בכרטיס העלייה למטוס וכן בכל המסמכים האישיים (למשל תעודת זהות, דף חשבון בנק וכו') בזהירות. מסמכי הנסיעה הללו שווים כסף אמיתי וצריך לתת להם תשומת לב מיוחדת".
אם אינכם רוצים לשמור על כרטיס העלייה למטוס שלכם, כדאי במקרה הטוב לגרוס אותו או לפחות לקרוע את החלק עם הברקוד לחתיכות קטנות.