Teknolojinin gelişimi, insanoğlunun yaşamını kolaylaştıran yeniliklerin yanında güvenlik problemlerini de getiriyor. Güvenlik, artık seyahat endüstrisi için gözetilmesi gereken bir gündem haline geldi. Korsanların, United Havayolları’nın sistemlerine yapılan ve uzun süre şirketin tüm işleyişini ve operasyonlarını durduran girişimi hepimizin aklında. Trump ve Hilton Otelleri’nin sistemlerine yönelik siber saldırıları da ciddi bir mağduriyet yaratmıştı.
Geçtiğimiz aylarda kamuoyu ile paylaşılan bir başka olay ise hepimizi yakından ilgilendiren bir durumla ilgili. Bir dahaki sefere check-in sırasında size verilen biniş kartınızı (boading pass) fotoğraflayıp sosyal medyada paylaşırken iki kez düşünün!
Bilgisayarınızdan çıktı şeklinde aldığınız uçuş kartınızı, uçuş sonrasında koltuğun gözünde bırakmayı ya da çöpe atmayı düşünüyorsanız da aynı şekilde bir kez daha düşünün derim. Çünkü biniş kartlarınızın üzerinde yer alan iki boyutlu barkod veya QR kodları, tahmin edebileceğinizin çok daha üzerinde bilgi içeriyor. Yani sosyal medya hesabınızda paylaştığınız biniş kartınızın fotoğrafı, sizi çok ciddi bir siber güvenlik tehlikesi ile karşılaşılanı karşıya bırakabilir.
O masum görünümlü çizgiler ve bulanık pikselli siyah izler, hesaplarınızı ele geçirmek isteyen kötü niyetli insanlar için çok büyük hazineler barındırıyor. Bir sonraki seyahat planınız, mil hesabınıza ait bilgiler, kişisel bilgileriniz ve çok daha ötesi kötü niyetli kişiler tarafından ele geçirilebilir. Başınıza büyük bir iş alabilirsiniz.
Aslında her şey Cory’nin bir arkadaşının uçağa binmeden önce, biniş kartının resmini Facebook hesabı üzerinden paylaşması ile başladı. Bu paylaşımı gören Cory, biniş kartı üzerindeki barkodun içinde ne tarz bilgilerin saklı olabileceğini merak etti.
Cory, biniş kartının ekran görüntüsünü aldı. Onu büyüttü. Data okuyabilen çevrimiçi bir site buldu. Cory “inliteresearch” isimli sitenin online barkod okuyucu ve çözücü sayfası üzerinden barkodu deşifre ederek çok sayıda bilginin bu barkodun içerisinde olduğunu tespit etti. Sonrasında bir kaç adım daha ileri giderek, bunun ne kadar tehlikeli bir boyuta ulaşabileceğini deneyimledi.
Kod çevirici sayesinde, yolcunun isminin yanı sıra, havayolunun sadakat programındaki üyelik numarası ve diğer kimlik bilgilerini çözmeyi başardı. Cory, o günkü Lufthansa uçuşuna dair “kayıt anahtarı” olarak bilinen şifreyi elde etmeyi başarmıştı.
Cory daha sonra Lufthansa’nın web sitesi üzerinden, barkodun çözümünden elde ettiği yolcunun soyadı ile birlikte kayıt anahtarını da kullanarak, yolcunun tüm hesabına erişim sağladı. Üstelik yalnızca o uçuşa ait olan bilgilere değil, hesabın tamamına erişim sağladığı için, gelecekte yapacağı herhangi bir uçuşa dair bilgilere de erişebiliyordu. Bunu yapabilmesini sağlayan şey ise tüm uçuşların, Star Alliance bünyesindeki sık uçan yolcu programına ait numara üzerine kodlanmış olmasıydı.
Lufthansa sitesi üzerinde sağlanan bilgiler uçuşu gerçekleştirecek olan kişinin adı ve telefon numarasını da içeriyordu. Bu noktada en endişe verici durum, Cory’nin elindeki bilgiler ile sadakat programı hesabı üzerinden alınmış tüm seyahatler için tarih ve koltuk değişiklikleri yapabilecek olması ve hatta isterse uçuşları iptal edebilmesiydi. Biniş kartı üzerinde yer alan bu bilgilerin ardından, kişinin hesabına daha kolay saldırıya geçebilmek için pin kodunu resetlemek oldukça basit bir iş haline geliyordu.
Pin kodunu resetlemek için sorulan güvenlik sorularına cevapları tahmin etmek ise kişinin sosyal medya hesapları üzerinden alınacak bir iki ipucu ile hiç de zor değil. Çünkü sorular genellikle “Evcil hayvanınızın adı” “Annenizin evlenmeden önceki soyadı” gibi sorular oluyor. Bu soruların yanıtları kişinin sosyal medyadaki hesaplarında yorum veya paylaşımlarından oldukça kolay elde edilebiliyor. Örneğin soruyu evcil hayvanının adı ne olarak ayarlayan kişinin illa evcil hayvanı ile olan bir fotoğrafı Facebook hesabında yer alıyor. Annesinin kızlık soyadı ise arkadaş listesinde yer alan aile üyeleri arasından büyük ihtimalle bulunabiliyor.
İlgili Haber | Biniş Kartındaki SSSS Kodu Nedir?
Buradaki asıl problem havayolu şirketlerinin bu kodlar içerisinde bu kadar ciddi bilgilerin tamamını saklıyor olması. Kullanıcılar olarak sizin bilmeniz gereken ise size ait tüm bilgilerin bir şekilde bir yerlerde depo edildiği ve çeşitli işlemler ile bu bilgilerin ele geçirilebilir olması.
Bu durumdan dolayı mağdur olmamak için yapılması gereken, biniş kartlarınızı uçuş sonrasında koltuk cebinde bırakmamak, tek parça halinde çöpe atmamak, dikkatli bir şekilde imha etmek ve sosyal medyada paylaşmamak olmalı.