Warum du niemals Bilder von Flugtickets oder Schlüsseln posten solltest

Eine Suche nach dem Hashtag #boardingpass spuckt auf Instagram 91.851 Ergebnisse aus. Das sind nach unseren Berechnungen genau 91.851 zu viele. Denn über die fröhliche Verkündung deiner anstehenden Flugreise mit Fotobeweis freuen sich nicht nur deine Follower. Auch Kriminelle, die daran interessiert sind, deine Identität zu klauen, vielleicht in deinem Namen zu fliegen oder deine Accounts zu übernehmen, können mit einem Foto deiner Bordkarte einigen Schaden anrichten.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Allein im ersten Halbjahr 2017 gab es bereits derart viele Fälle von Identitätsdiebstahl, dass die BBC sogar von einer "Epidemie" spricht. Die häufigste Altersgruppe der Opfer sind dabei übrigens nicht ahnungslose Omas, die auf dubiose Links klicken, sondern Menschen um die 30, die vermeintlichen "digital natives".

Aber wie kommen die Hacker und Cybergangster eigentlich an die Online-Identität ihrer Opfer, wenn das Bewusstsein für gute Passwörter allgemein steigt? Die Antwort liegt in unseren Feeds. Vielen Menschen ist nicht bewusst, dass sie mit versteckten Infos in sorglos geposteten Instagram-Fotos von Tickets und sogar Autoschlüsseln eine freundliche Einladung an Fremde mitschicken, mal ein bisschen kreativ zu werden.

Dass der sechsstellige Buchungscode, den Fluglininen PNR (für Passenger Name Record) nennen, eine wahre Goldgrube für den Identitätsklau ist, hat der Hacker Karsten Nohl bereits im vergangen Jahr auf dem Chaos Communication Congress in Hamburg bewiesen.

Wie Nohl herausfand, ist der PNR nicht mehr als ein ziemlich schlechtes, von der Fluglinie ausgegebenes temporäres Passwort, das du auf jedem einzelnen Gepäckanhänger öffentlich spazieren trägst. Für jeden, der deinen Buchungscode und Nachnamen kennt, steht beim Online-Check-In die Tür für unberechtigte Freiflüge und anderes Chaos weit offen.

Ein durchschnittlicher Computer kann so einen kurzen Code sogar in zwei Minuten erraten. Auf manchen Websites genügen schon der Nachname des Passagiers und der Zeitpunkt des Flugs, um sich als Passagier einzuloggen und die Bordkarte auszustellen. Und in Zeiten von Codesharing zwischen verschiedenen Airlines kannst du dich mit einem PNR gerne mal bei fünf oder mehr Fluglinien-Websites ausweisen – von wo aus Kriminelle dann am günstigsten den Angriff auf weitere persönliche Daten starten oder sich einen Freiflug erschleichen, ist dann nur noch eine Frage der schlechtesten Konfiguration.

Die Geschichte über diese Art von Flug-Klau schlug schon um die Jahreswende herum hohe Wellen – doch wie der Entwickler und Sicherheitsforscher Michal Spacek nun beweist, haben sowohl Fluglinien als auch ganz besonders Passagiere acht Monate später noch immer wenig gelernt. In einem Beitrag auf seiner Website zeigt er, was man mit einer kurzen Fotosuche in Sozialen Medien so alles anstellen kann.

In der ersten von drei Instagram-Fallstudien beschreibt Spacek, wie er einen in Hongkong urlaubenden Freund nicht nur dort festsetzen, sondern als kleines Bonbon auch noch zum international gesuchten Kriminellen hätte erklären können. Und das alles nur, weil Spaceks Freund auf Instagram stilsicher ein Foto von seiner Bordkarte neben Smartphone und Lautsprechern drapiert hat.

Mit dem auf dem Foto gut lesbaren Buchungscode des Tickets kann Spacek sich auf der Check-in-Seite von British Airways einloggen, wo er sieht, dass sein Freund alle wichtigen persönlichen Daten – darunter Geburtstag und Passnummer – vor seiner Abreise in eine Maske eingetragen hatte.

Um ihm jetzt einen üblen Streich zu spielen, musste Spacek die Website nur davon überzeugen, dass hier wirklich sein reisender Freund die Details ändern möchte. Da er die Passnummer seines Opfers noch nicht kannte, bietet ihm die Website freundlicherweise an, ein Geburtsdatum einzugeben. Bingo – das steht im Fall des Opfers nicht nur im Handelsregister, sondern auch auf Facebook. Nun kann Spacek beliebige Daten abwandeln – und zum Beispiel die Passnummer in die eines Terroristen aus einer Interpol-Datenbank ändern.

Zweiter Fall: Eine gewisse Anna versucht auf Instagram etwas Sicherheit zu verschaffen, indem sie auf dem Bordkarten-Foto vor dem Posten ihren Nachnamen per Photoshop ausradiert. Das bringt ihr aber nichts, solange der sogenannte Aztec-Ccode noch zu sehen ist. In diesem Fall braucht Spacek nichts weiter als eine App wie "Barcode Scanner", um den vollen Namen eines Passagiers im Klartext angezeigt zu bekommen. Und mit dieser Killer-Kombi stehen ihm – je nachdem, wie schlecht die Airline abgesichert ist – die gleichen gefährlichen Möglichkeiten wie beim ersten Fall zu Verfügung.

Dritter Fall: Ein Typ – in diesem Fall ein recht berühmter Startup-Gründer – postet statt der Bordkarte seine Smart Watch, die als Bordkarte lediglich Aztec-Code zeigt. Spacek scannt diesen wieder ein und findet etwas noch viel Wertvolleres heraus: In dem Code ist die Frequent-Flyer-Nummer des Gründers eingeschrieben, den die Airline normalerweise wie einen Schatz hütet und nicht mal in der Briefkorrespondenz ausschreibt.

Mit Hilfe dieser Nummer und öffentlich verfügbaren Informationen konnte Spacek bei der US-Fluglinie United zwei lächerlich einfache Sicherheitsfragen beantworten und hätte danach sofort ein neues Passwort für den Account des Opfers anlegen können – ein Jackpot, denn von dort aus lassen sich auch andere relevante Infos wie Zahlungsinformationen, Buchungen, Adressen und natürlich der ein oder andere Freiflug abstauben. United hat mittlerweile eine zusätzliche Hürde zum Zurücksetzen des Passworts eingebaut. Damals jedoch hätte Spacek noch die Identität des Gründers annehmen und den eigentlichen Besitzer öffentlichkeitswirksam aus seinen Konten aussperren können.

You do you, solange du Namen, Buchungscode, Datum und das Scan-Feld nicht zeigst. In jedem Fall ist Schwärzen gerade bei sensiblen Informationen viel schlauer als Blurren, denn die Pixel können unter Umständen mit entsprechenden Programmen zurückgerechnet werden und genau das preisgeben, was du verstecken willst.

Bei Motherboard: Samy Kamkar legt MySpace lahm

Auch wenn das unwahrscheinlich ist, bist du gerade bei Text und Zahlen auf der sicheren Seite, wenn du einfach einen schwarzen Balken über die Information legst, statt einem Angreifer die Möglichkeit zu geben, sich aus den verbliebenen Schlieren oder Kacheln das Original wieder zusammen zu puzzeln. Kleine Hacker-Faustregel: Keine Information ist sicherer als eine Rest-Information.

Viele Menschen vergessen gern, dass das nicht nur für digitale Bilder gilt, sondern auch für Papier-Tickets und Bordkarten. Statt sie also im Flugzeug liegen zu lassen, entsorge sie nach Gebrauch – und zwar am besten zerrissen. Für das Extralevel Paranoia besorge dir einen Aktenvernichter für zu Hause oder wirf die Bordkarten-Fetzen am Ankunftsort in verschiedene Mülltonnen. In den meisten Fällen jedoch reicht dieser Tipp: Poste einfach keine Bordkarten. Bilder aus dem Flugzeug sehen eh viel besser aus.

Klar, du bist stolz auf dein Auto, vielleicht ist es neu, bestimmt war es teuer, und willst jetzt allen mitteilen, dass der Schlüssel zur Freiheit direkt neben deinem Avocado-Toast auf dem Tisch liegt. Aber lass dir vom Verifizierungs-Papst Henk van Ess gesagt sein: Auch deine Schlüssel gehören nicht auf Facebook, Twitter oder Instagram.

Denn es ist nicht besonders schwer, aus dem Umriss und Schattenfall ein exaktes Computer-Modell deines Autoschlüssels in einem 3D-Programm zu erstellen. Das CAD-Programm fährt einfach die Form des in eine Flash-Datei umgewandelten Fotos nach, während der Angreifer schon mal den 3D-Drucker warmlaufen lässt und sich eine schöne Farbe für seine Kunstharz-Schlüsselkopie aussucht. Wo dein Auto oder deine Wohnung steht, lässt sich über Geotags oder andere Info-Schnipsel aus Sozialen Medien wahrscheinlich ebenfalls leicht herausfinden. Dreißig Minuten später ist die Nachbildung fertig gegossen – und in den meisten Fällen reicht die Genauigkeit der Kopie für ein paar Umdrehungen im fremden Schloss aus.

Wenn du auf Social Media trotzdem unbedingt mit deinem Schlüssel angeben willst, brauchst du nicht mal Photoshop-Kenntnisse: Halte ihn einfach am Schlüsselbart in der Hand oder verdecke mindestens das untere Drittel der Schlüsselspitze, damit niemand die Form kopieren kann. Und auch hier gilt: Zeig doch lieber die Karre als die Info, wie man sie klauen kann.