Warum Ihr Euren Boardingpass niemals öffentlich posten solltet

Wir alle sind gern und meist auch häufig bei Instagram, Facebook etc. unterwegs und teilen Eindrücke aus unserem Leben gern mit unseren Freunden bzw. den Menschen, die unseren Profilen folgen. In diesem Beitrag möchte ich Euch einmal verdeutlichen, wie gefährlich es jedoch sein kann, voller Vorfreude auf eine anstehende (Flug-)Reise bzw. allgemein einen Urlaub, seinen Boardingpass und/oder gar eine Reisebestätigung öffentlich zu posten.

Warum Ihr Euren Boardingpass niemals öffentlich posten solltet – Beispiele

Zunächst habe ich einfach mal bei Instagram nach dem Hashtag „#Boardingpass“ gesucht und direkt nach einigen Augenblicken zwei „Kandidaten“ für meine beispielhafte Darstellung gefunden (zum Schutz sämtlicher personenbezogener Daten habe ich die „gefährlichen Stellen“ nachträglich zensiert).

Beispiel 1:

Bei meinem ersten Beispiel erkennt man zunächst keine Daten, die eine Ansicht auf die Buchung ermöglichen. Lediglich der Vor- und Nachname der Instagram-Userin scheinen offen sichtbar zu sein.

Bei genauerem Hinsehen ist aber auf dem Gepäckabschnitt (auf der linken Seite), der auf dem Reisepass klebt, eine sogenannte PNR-Nummer, also eine Buchungsnummer, erkennbar.

Mit dieser und dem Nachnamen lässt sich die Buchung auf der Seite der Airline, in diesem Fall Air France bzw. Delta Airlines, wunderbar öffnen und man kann persönliche Daten, wie die Adresse und die Telefonnummer der Userin sehen. Dies kann als wunderbare „Einladung“ für Kriminelle dienen, in der Abwesenheit einen „Hausbesuch“ abzustatten.

Beispiel 2:

Mein zweites Beispiel stammt aus einer sogenannten Instagram-Story.

Wie wir sehen, freut sich hier jemand über einen gerade frisch gebuchten (Urlaubs-)Flug und teilt dies großzügig mit. In diesem Fall wurde sogar die Ticketnummer mit einem Text „zensiert“, der Name ist aber dennoch frei sichtbar. Zudem hat die Userin in diesem Fall leider auch nicht beachtet, dass, hier auf der linken Seite zu sehen und gekennzeichnet, im geöffneten Apple-E-Mail-Programm die Buchungsnummer (ähnlich Beispiel 1) direkt sichtbar ist und so mit dem Namen verbunden auf der Homepage der Airline eingegeben werden kann.

Warum Ihr Euren Boardingpass niemals öffentlich posten solltet – Was passieren kann

Anhand des zweiten Beispiels möchte ich Euch nun verdeutlichen, was mit den Daten konkret angestellt werden könnte.

Zunächst gebe ich die öffentlich sichtbare Buchungsnummer in Kombination mit dem ebenfalls öffentlich lesbaren Nachnamen auf der Seite der Airline (auch diese erkennen wir ja direkt), Finnair, ein. Mir wird die Zusammenfassung der Buchung angezeigt und ich erkenne, welche Flüge für welche Daten und mit wem (also die Namen aller gebuchten Passagiere) stattfinden:

Es geht für zwei Personen im März von Hamburg nach Bangkok und von Singapur zurück.

Dies sieht zunächst noch recht harmlos aus. Etwas kritischer wird es aber, wenn ich auf die eingegebenen Daten der Reisenden zugreife. Hier kann ich unter anderem die Handynummer, die Adressen und Geburtsdaten, also glasklare persönliche Daten, erkennen.

Zudem habe ich auch die Möglichkeit, für die Langstreckensegmente ein spezielles Menü vorzubestellen und Sitzplätze auszuwählen (bzw. nach dem Online-Check-In zu ändern).

Am gefährlichsten ist jedoch, dass bei Buchung bestimmter Tarife (in diesem Beispiel nicht der Fall) auch eine Stornierung bzw. Umbuchung des Tickets möglich sein kann. Im schlimmsten Fall könnte ein unbefugter Dritter also die Flüge entsprechend stornieren und eine Wiederherstellung wäre nicht mehr möglich.

Eine weitere Möglichkeit wäre ein Ändern der persönlichen Daten und darauffolgend ein Namenswechsel – der Übeltäter könnte so Eure Buchung für sich verwenden und müsste ggf. nur eine geringe Bearbeitungsgebühr bei der Airline selbst bezahlen.

Dadurch könnten also alle Reisepläne zerstört werden.

Warum Ihr Euren Boardingpass niemals öffentlich posten solltet – Schutz

Wie an den Beispielen gezeigt, ist es mehr als fahrlässig, einen Boardingpass oder eine Reisebestätigung unzensiert einfach öffentlich zu posten.

Ihr solltet daher stets darauf achten, dass die Buchungsnummer bzw. die Ticketnummer und/oder Euer Name zensiert sind, bevor Ihr einen derartigen Post öffentlich macht. Zudem sollten Reiseunterlagen auch in der Realität, z.B. am Flughafen, nie sichtbar öffentlich hingelegt werden!

3 Kommentare

  1. Auch Gepäckanhänger werden vielfach mit Anschrift nach aussen (für alle sichtbar) angebracht. Jeder, der mit dem Gepäck zu tun hat, weiss also, dass XY momentan nicht daheim ist ! Der Gepäckarbeiter, Zoll, Kofferträger (oder wer auch immer) KÖNNTE also die Adresse ohne weiteres jemandem zukommen lassen.
    Bereits auf der Rolltreppe am Flughafen sieht man so manche „Einladung“.
    Aber zum Glück gibt es ja nur ehrliche Leute in diesem Business.

    Ich bin absolut nicht ängstlich , nur sehr, sehr vorsichtig !

  2. Man sollte auch nicht den Barcode auf dem Boarding Pass posten. Dieser enthält unter anderem den Namen UND Buchungscode und kann leicht mit frei verfügbaren Tools ausgelesen werden. Wer mehr darüber wissen will, sollte sich den Vortrag von Karsten Nohl auf dem 33. Chaos Communication Congress (33C3) anschauen.

  3. Vieles in diesem post ist durchaus berechtigt und ergibt Sinn, dass jedoch jemand den Namen in seinen eigenen ändert (welche airlines/ota’s erlauben denn überhaupt Namensänderungen??) und dann auch noch damit am Flughafen erscheint, erachte ich jedoch als an den „Haaren herbei gezogen“.
    Was Leute bei facebook & co. preisgeben, steht dem hier beschriebenen übrigens in keinster Weise nach….

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.