Douwe Bob op weg naar het Eurovisiesongfestival.
Douwe Bob op weg naar het Eurovisiesongfestival. © ANP

Selfie met boardingpass is niet zonder risico

Je boardingpass vlak voor je vlucht op Facebook of Instagram zetten lijkt wellicht een leuke manier om je vakantieplannen met je naasten te delen, maar heel verstandig is het niet. De 'geheime' boekingscode voor het inzien van je reservering staat vaak gewoon op je boardingpass. Terwijl jij nog geniet van de likes op je vakantieberichtje, kunnen anderen je vlucht annuleren of wijzigen zodat je het vliegtuig niet meer in komt.

Daarvoor waarschuwden twee gerenommeerde hackers deze week op een hackersconferentie in Duitsland, schrijft de NOS. Volgens een van hen, de Duitse Karsten Nohl, stond de boekingscode eerder meestal open en bloot op je boardingpass en is deze tegenwoordig vaak verstopt in de barcode. Om bij je reservering te komen, hoeft een ander enkel de barcode uit je pre-vakantiekiekje te knippen.

Met die barcode in combinatie met je achternaam (die ook op de boardingpass staat vermeld) kan hij of zij inloggen op de website van de luchtvaartmaatschappij. Niets staat de inbreker dan in de weg om de reservering te wijzigen en zelf de vlucht te nemen in plaats van jou, of de vlucht te annuleren en het restitutiebedrag te innen. Nohl beweerde dat dit in de praktijk ook echt gebeurt, maar kon geen concrete voorvallen noemen.  

Dat het link is om toegangskaartjes met belangrijke codes via sociale media als Facebook en Instagram te delen, is inmiddels genoegzaam bekend. Zo zijn er verhalen van concertgangers die bij de ingang van het muziekgebouw ineens de toegang werden ontzegd omdat het kaartje reeds was gebruikt. Bij de vluchtreserveringen kan dief er echter niet alleen met je ticket vandoor gaan, maar ook met je persoonlijke gegevens, omdat de boekingscode als wachtwoord dient. De inlogbeveiliging van vluchtvaartmaatschappijen is daarmee uitzonderlijk slecht, zegt Nohl.

Zes cijfers

Vindt de hacker eenmaal een lek, dan kan hij overal inloggen

Overigens kan een hacker zich ook zonder de hulp van een argeloos geplaatste foto meester maken van je vliegticket, ontdekten de twee hackers. De boekingscodes bestaan slechts uit zes cijfers, waardoor een beetje computer de code van een passagier binnen minuten kan raden. Normaal gesproken tuigen bedrijven een beveiligingswal op om dat computergestuurde giswerk tegen te gaan, maar in de vliegindustrie zijn er altijd wel een aantal partijen te vinden die dat nalaten, aldus Nohl tegen de Duitse tv-zender WDR. Vindt de hacker eenmaal een lek, dan kan hij overal inloggen. Ook daar waar de beveiliging wel op orde is.