Nedělení odpoledne. Nuda je tak veliká, že při projíždění Instagramu sledujete i účet bývalého premiéra, v tomto příběhu zveřejněném na mango.pdf.zone jde konkrétně o toho australského – Anthonyho Abbota.
Rozbuškou všeho byla školácká, avšak poměrně obvyklá chyba. Abbott na svém účtu zveřejnil fotografii palubního lístku před svou cestou ze Sydney do Tokia. Celkem obvyklá věc, která má v ostatních vyvolat závist. Ostatně, pokud pokud se na zmiňovaném Instagramu podíváte na #boardningpass, dostanete hodně přes sto tisíc výsledků. A to i přestože obsahuje mnohé citlivé informace, mnohé z nich viditelné už na první pohled.
Avšak daleko víc toho není na první pohled vidět, nicméně na internetu lze snadno dohledat způsoby, jak se k citlivým informacím dostat. Vše spočívá v načtení čárového nebo QR kódu, případně čísla objednávky nebo dalších informací.
Ve zmiňovaném příběhu stačilo číslo objednávky a příjmení pasažéra, abyste se na webových stránkách aerolinií Qantas mohli vydávat za něj. Na první pohled se ani tady nevyskytuje nic až tak moc kompromitujícího, v podstatě totéž, co už bylo možno vyčíst z palubního lístku.
Hacking pro začátečníky
Říkáte si, kde je ten hacking? Nečekejte žádné filmové nabourávání se do databází zuřivým bušením do klávesnice. V podstatě si necháte jen zobrazit zdrojový kód stránky, ke které jste se dostali v předchozím kroku. Kromě toho, co vidíte ve výsledku, obsahuje každá stránka i množství jiného kódu. Ten pak zobrazí jinou stránku v případě, že jste přihlášeni například jako zaměstnanec.
Z důvodu špatného zabezpečení jsou ale tyto informace přístupné i zvenku. Stačí jen použít kouzelnou zkratku Ctrl+F a vyhledat například slovo „passport“. Takovým způsobem se dostaneme nejenom k číslu pasu, ale i k telefonnímu číslu a dokonce i ke zprávám mezi zaměstnanci. V tomto případě měl mít pan Abbott přednostní odbavení při nástupu do letadla.
Tohle je jen začátek
Bez nějakého většího intelektuálního úsilí se tak autorovi článku podařilo získat číslo pasu a telefon dotyčného. Kdyby na jeho místě seděl onen pověstný „zlý hacker v kapuci“, mohl by se s takovými údaji celkem úspěšně pokusit o únos SIM. Pak by získal prakticky neomezenou vládu nad digitální osobností Tonyho Abbotta. Autor článku namísto toho popisuje právní aspekty svého jednání a také zoufalou a marnou snahu dát alespoň něco z toho do pořádku.
Hackerem se může stát každý, kdo ví, že internetová stránka má zdrojový kód, ve kterém se dá vyhledávat
Už jen číslo pasu stačí v některých zemích jako doklad totožnosti, otevírá také možnost nechat si vyrobit padělek s údaji, které budou sedět, a tak neprasknou při první kontrole. Dotyčný si tak může otevřít bankovní účet, koupit si mezinárodní letenku a spoustu dalších věcí. Vás pak čeká vysvětlování, že nepracujete pro drogový kartel anebo teroristickou organizaci.
A to vše jenom kvůli jedné fotce na Instagramu. Na základě tohoto příběhu opravil Qantas svůj systém a Tony Abbott si uvědomil, jakou udělal hloupost. Jenže kolik takových aerolinek na světě je a kolik lidí denně nahraje na internet fotku letenky, palubního lístku nebo kufru se štítkem? Hackerem se přitom může stát každý, kdo ví, že internetová stránka má zdrojový kód, ve kterém se dá vyhledávat.
