Пшемек Ярошевски демонстрирует QR-код, позволяющий ему получить доступ в VIP-зал аэропорта
Глава польского подразделения «Компьютерной группы реагирования на чрезвычайные ситуации» (computer emergency response team, CERT) Пшемек Ярошевски (Przemek Jaroszewski) очень часто отправляется в международные командировки. Обычно он летает самолетом, в среднем 50 — 80 раз в год. С такой частотой перелетов авиакомпании предоставляют клиенту множество бонусов, включая доступ в VIP-залы. Ярошевски по душе зал Turkish Airlines, где можно посмотреть кино, опробовать турецкую выпечку и даже получить сеанс бесплатного массажа.
В одном из полетов статус вип-клиента не был распознан системой при сканировании посадочного талона поляка. Ярошевски решил проблему, используя свои навыки специалиста по информационной безопасности. Он научился составлять для системы аэропорта QR-код, позволявший ему получить статус вип-клиента практически в любом из аэропортов Европы.
Бизнес зал в аэропорту. Сколько стоит и как попасть
Поляк написал специальную программу, которая использовала фиктивные данные пассажира и реальные данные рейса, формируя QR-код для посадочного талона. Использовать можно любое имя, номер рейса, конечный аэропорт и класс билета. Как оказалось, системе нужен лишь реальный номер рейса. Все остальные данные можно брать «с потолка».
Приложение для Android, созданное Ярошевски, позволяет любому человеку получить доступ к VIP-залу ряда авиакомпаний. Также при помощи этого приложения можно делать покупки в duty free магазинах.
Уязвимость систем, сканирующих посадочные талоны, далеко не новость. Впервые ею воспользовался специалист по криптографии Брюс Шнейер (Bruce Schneier). Он описал свой метод в 2003 году. Еще один специалист по информационной безопасности создал веб-сайт, автоматически генерировавший поддельные посадочные талоны.
Сайт еще работает, но вот скрипт, формировавший фальшивые посадочные талоны — нет. Владельца сайта заставило убрать этот скрипт ФБР, еще в 2006 году.
Ярошевски своим приложением показал, что уязвимость существует и по сей день, десять лет спустя. «В самом деле, для создания поддельного посадочного талона нужно лишь 10 секунд», — говорит он.
Процесс создания QR-кода поляк записал на видео. Здесь он использует имя Бартоломью Симпсон и генерирует код. После с этим кодом он регистрируется на рейс и входит в VIP-зал Turkish Airlines в Стамбуле.
Пшемек Ярошевски говорит, что не проверял свое приложение в аэропортах вне Европы, поэтому он не может сказать, получится ли использовать его в США или других странах. Кроме того, он никогда не пробовал полететь под фальшивым именем. По его мнению это вряд ли возможно, поскольку при посадке на самолет приходится проходить повторную проверку уже с документами.
Кроме того, этот метод могут использовать только те пользователи, которые уже находятся в аэропорте, пройдя все проверки, включая «рамки». Трюк может использоваться только лишь для получения привилегий для себя в качестве пассажира с VIP-статусом. Создав соответствующий QR-код, пассажир из эконом-класса может без проблем проходить в зал ожидания для пассажиров, которые купили гораздо более дорогой билет.
Журналисты Wired обратились в Управление транспортной безопасности США и Международную ассоциацию воздушного транспорта, попросив прокомментировать ситуацию. Представители этих организаций ответили, что не рассматривают текущую ситуацию как угрозу. Также журналистам сообщили, что ответственность за безопасность своих пассажиров лежит на самих авиакомпаниях. Похоже, проблема в том, что у сканирующих систем нет возможности проверить данные о пассажире, в их базе данных есть только номера авиарейсов. Подключиться к внешней сети для проверки всех данных, содержащихся в QR-коде такие сканеры не могут.
Пшемек Ярошевски, выступая на конференции Defcon, заявил, что он никогда не пробовал попасть в залы авиакомпаний, к которым у него не было бы доступа, как вип-пассажира под своим реальным именем. Также он не пробовал при помощи своего приложения покупать товары в duty free магазинах, когда он летел в пределах одной страны. Эксперт объяснил это тем, что не хотел нарушать закон.
Правда, один раз он сгенерировал код для своего друга, который находился в аэропорту Стамбула, ожидая пересадки на рейс в течение 7 часов. Он сказал другу, чтобы тот использовал QR-код на свой страх и риск. И у того все получилось.
Ярошевски сказал, что не собирается выкладывать свое приложение в общий доступ. Он утверждает, что для любого более-менее опытного специалиста не будет проблемой создать точно-такое же приложение. Сама программа проста — в ней всего 500 строк кода. А намерения человека, который решит сделать нечто подобное, могут быть уже далеки от желания проверить идею о возможности обмана систем аэропорта.
Источник: habr.com
Проводите время до вылета с комфортом
·ON·PASS — услуга, открывающая доступ в более 100 бизнес-залов аэропортов и ж/д вокзалов России и за рубежом.
Без предварительного бронирования и предоплаты.
Откройте для себя преимущества ·ON·PASS
Ожидание рейса с комфортом
Ваша карта дает вам свободный доступ в закрытые зоны отдыха вне зависимости от маршрута, авиакомпании или класса билета
Пакет обслуживания «Private Banking»
Посещение бизнес-залов без ограничений для вас и ваших гостей, а также держателям дополнительных карт.
Пакет обслуживания «Индивидуальный»
Доступно два посещения бизнес-залов каждый месяц.
Для доступа в бизнес-зал необходимы посадочный талон и действительный QR-код
- Скачайте приложение MILEONAIR
Зарегистрируйтесь по номеру телефона, на который приходят уведомления от приложения «Цифра банк» - В разделе «Привилегии» найдите карту «Цифра банк»
Ниже будет отображаться счетчик доступных проходов и кнопка «Покажите QR-код» - Для прохода в бизнес-зал нажмите на кнопку «Покажите QR-код»
Сотрудник бизнес-зала отсканирует ваш код из приложения и проверит посадочный талон
Оставьте заявку на выпуск карты и пользуйтесь всеми
привилегиями бизнес-залов аэропортов и ж/д вокзалов
Заполните форму и специалист банка свяжется с вами в ближайшее время
- Тарифы пакетов обслуживания физических лиц Пакет документов, 252.74 КБ
- Условия обслуживания Пакет документов, 966.82 КБ
Часто задаваемые вопросы
Что даёт участие в программе?
Программа позволяет владельцам карт, выпущенным в рамках пакетов «Индивидуальный» и «Private Banking» пользоваться услугами бизнес-залов в аэропортах. Услуга открывает доступ к бизнес-залам независимо от авиакомпании и класса обслуживания.
Как работают бесплатные проходы в бизнес-залы?
Вам нужно показать сотруднику бизнес-зала QR-код из приложения MILEONAIR. По этому QR-коду визит в бизнес-зал будет бесплатным: без доплат и компенсаций.
В приложении есть доступные бесплатные визиты, но сотрудник бизнес-зала мне отказывает и просит оплатить. Что делать в данной ситуации?
Напишите в чаты доступных мессенджеров в приложении MILEONAIR или позвоните по номеру 8 (800) 350-10-24.
В каких странах доступно посещение бизнес-залов по программе ·ON·PASS?
Актуальный список стран и доступных бизнес-залов по программе ·ON·PASS можно посмотреть на сайте или в приложении MILEONAIR (Android / IOS)
Могу ли я провести с собой в бизнес-зал другого человека?
Да, вы можете провести с собой другого человека
У меня уже было установлен MILEONAIR ранее, как найти бесплатные проходы от Цифра Банка?
После подключения пакета обслуживания Цифра Банка «Private Banking» в приложении MILEONAIR появится карта Цифра Банка в разделе «Привилегии». Также на главном экране приложения во вкладке «Бесплатные» будут отображаться все бизнес-залы, в которые вы можете пройти бесплатно.
Я оплатил проход самостоятельно. Мне его компенсируют?
К сожалению, мы не компенсируем проходы, которые вы оплатили самостоятельно.
Не могу воспользоваться бесплатным проходом. Почему?
Проверьте, что в разделе «Привилегии» отобразились карта Цифра Банка и счетчик количества доступных посещений. C даты подключения пакета услуг прошло меньше недели.
Когда будет расширена сетка, доступных бизнес-залов в РФ и за границей?
Вы можете обратиться в поддержку MILEONAIR и уточнить, когда откроется нужный вам зал.
Если в приложении MILEONAIR у бизнес-зала указано «Скоро» — доступен ли мне этот бизнес-зал?
Все бизнес-залы со статусом «Скоро» пока не доступны.
Сколько действует программа?
Привилегии по программе действительны до тех пор, пока вы владеете картами, выпущенными в рамках пакетов «Индивидуальный» и «Private Banking». В случае истечения срока действия или аннулирования/блокировки банковской карты, действие привилегии прекращается.
Обработка cookie-файлов
Файлы сookie представляют собой небольшие текстовые файлы, которые сохраняются на Вашем компьютере или мобильном устройстве при посещении Сайта ООО «ФФИН Банк» (далее – Фридом Финанс). Эти данные, как правило, состоят из буквенно-цифровых строк, которые обеспечивают уникальную идентификацию вашего устройства, но могут содержать и иные сведения. Как правило, данные файлы не занимают много места на устройстве и автоматически удаляются по истечении срока их действия. Некоторые сookie-файлы используются до конца сеанса соединения с Интернетом, другие сохраняются в течение ограниченного периода времени.
Продолжая работу на Сайте, Вы выражаете свое согласие ООО «ФФИН Банк» (адрес: 127006, Россия, г. Москва, ул. Каретный ряд, дом 5/10, строение 2) на автоматизированную обработку своих данных (файлы cookie, сведения о действиях пользователя на Сайте, о географическом положении для фильтрации по региону, история посещения сайта, количество посещенных страниц сайта, время посещения страницы, браузер, дата и время сессии, IP-адрес, источник, откуда пришел на Cайт пользователь, с какого сайта или в результате какой рекламы, а также иная информация, связанная с использованием метрических программ Яндекс.Метрика, Mail.RU, Google Analytics, Google, Вконтакте), с совершением действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ) контрагентам ООО «ФФИН Банк», предоставляющим сервис по указанным метрическим программам. Обработка данных осуществляется с целью улучшения качества оказываемых Услуг, предоставляемых Сервисов, удобства их использования, разработки новых Сервисов, в том числе, создания информационно-аналитических отчётов и баз данных для улучшения работы Сайта, совершенствования продуктов и услуг компании, определения Ваших предпочтений, предоставления целевой информации по продуктам и услугам ООО «ФФИН Банк».
В большинстве браузеров использование сookie-файлов принимается автоматически, но у Вас есть возможность управлять параметрами браузера для блокирования или удаления сookie-файлов.
Информируем Вас, что для отказа от использования cookie-файлов, Вам необходимо самостоятельно в настройках браузера просмотреть, какие файлы cookie используются веб-сайтами Фридом Финанс и отключить вручную функцию использования cookie-файлов.
ООО «ФФИН Банк» использует данные, содержащиеся в файлах cookie. Оставаясь на сайте, вы даете согласие на обработку ваших данных, содержащихся в файлах cookie. Если вы не хотите, чтобы эти данные обрабатывались, отключите cookie в настройках браузера. Отказ от использования файлов cookie может привести к тому, что некоторые функции cайта будут вам недоступны.
Источник: cifra-bank.ru
ВТБ запустил Mir Pass для доступа в бизнес-залы аэропортов и ж/д вокзалов
С 5 декабря ВТБ запускает новый сервис Mir Pass в рамках программ Private Banking и «Привилегия» для держателей карт Mir Supreme, которые дают возможность бесплатно посещать бизнес-залы аэропортов и ж/д вокзалов России и за рубежом.
«Совместная программа с платежной системой «Мир» – Mir Pass, единственная альтернатива ушедшему из России Priority Pass. Это более 100 бизнес-залов в аэропортах и ж/д вокзалах. Географию планируется расширять, в том числе за счет зарубежных направлений», — прокомментировал Дмитрий Брейтенбихер, старший вице-президент, руководитель Private Banking и «Привилегии» ВТБ.
«В сегодняшней ситуации одной из самых актуальных задач платежной системы «Мир» остается создание и развитие технологичных сервисов, востребованных как у банков, так и у держателей карт. Новое решение предлагает один из крупнейших эмитентов карт «Мир». Оно будет доступно владельцам Mir Supreme в удобном цифровом формате и позволит посещать бизнес-залы без предъявления карты», — отметил Дмитрий Бувин, коммерческий директор платежной системы «Мир».
Mir Pass создан на основе международного оператора бизнес-залов ON PASS. После регистрации через сервисы ВТБ Онлайн и «Привет, Мир!» участник Private Banking и «Привилегия» получает специальный QR-код, который нужно предъявлять администратору бизнес-зала, входящего в программу ON PASS, даже если карты Mir Supreme в этот момент нет под рукой. Доступ к Mir Pass для VIP-клиентов ВТБ будет безлимитным.
Источник: sib.fm