Foto’s van je sleutels en vliegtickets op social media zetten is echt een dom idee

Zoek op Instagram naar #boardingpass en je krijgt maar liefst 91.998 resultaten. Volgens onze berekeningen zijn dat er 91.998 te veel. Want de vrolijke aankondiging van je volgende vlucht is niet enkel leuk voor je followers, maar ook voor criminelen die je identiteit willen stelen, om jouw vliegtickets te gebruiken.

In de eerste helft van 2017 waren er al zo veel gevallen van identiteitsdiefstal dat de BBC spreekt van een "epidemie". De meestgetroffen leeftijdsgroep bevat trouwens geen oudjes die op louche links klikken, maar mensen van rond de 30, zogenaamde "digital natives".

Hoe komen hackers en cybergangers aan de identiteit van hun slachtoffers in een tijd waarin we steeds beter beseffen hoe belangrijk een goed wachtwoord is? Het antwoord zit in onze feeds. Veel mensen zijn zich er gewoon niet van bewust dat hun Instagramfoto's van tickets of zelfs autosleutels in feite een schaamteloze uitnodiging aan hackers zijn om eens lekker creatief te doen.

'Passenger Name Record' in de vliegtuigsector' zijn een ware goudmijn voor identiteitsdiefstal. Dat heeft hacker Karsten Nohl vorig jaar nog tijdens het Chaos Communication Congress in Hamburg bewezen. Hij ontdekte dat de PNR niet meer is dan een behoorlijk slecht opgesteld wachtwoord dat je op je koffer rondparadeert. Wie je boekingscode en je achternaam kent, kan via de online check-in gewoon jouw vluchten claimen, en nog veel meer.

Een doorsnee computer kraakt zo'n code in amper 2 minuten. Op sommige websites heb je zelfs niet meer nodig dan de achternaam van de passagier en het uur van vertrek om als passagier in te loggen en de boarding pass te downloaden. En in tijden van Codesharing tussen verschillende luchtvaartmaatschappijen kan de hacker gewoon gaan voor de website met de slechtste beveiliging.

Ontwikkelaar en veiligheidsonderzoeker Michal Spacek toont in een post op zijn website hoe ver je al komt met een boardingpassfoto en een klein beetje rondneuzen op de social media van het slachtoffer.

In het eerste voorbeeld gaat Spacek aan de slag met een Instagramfoto van een vriend die in Hongkong op vakantie is. Op de foto zijn zijn smartphone, een speaker en uiteraard, zijn boarding pass, te zien. (zie bovenaan) Spacek toont hoe hij met gemak de vluchtgegevens zou kunnen veranderen, en zo zijn vriend in Azië zou doen stranden.

Met de boekingscode kan hij zich namelijk gewoon inloggen bij de online check-in van British Airways. En dan blijk het bijzonder gemakkelijk te zijn om de website te overtuigen dat hij de eigenaar van de tickets is. Hij kent de identiteitskaartnummer van zijn vriend niet, maar British Airways geeft hem de optie om gewoon de geboortedatum in te geven. Die vind hij onder andere op Facebook of in het handelsregister (de vriend in kwestie is freelancer). Nadat hij het juiste geboortedatum heeft ingegeven, zit hij in het account en kan hij veranderen wat hij wil. Zo zou hij bijvoorbeeld zijn identeitskaartnummer kunnen veranderen in die van een terrorist uit de Interpoldatabank.

Een zekere Anna denkt op Instagram iets veiligheidsbewuster te zijn: ze heeft op de boarding passfoto haar achternaam geblurred. Enkel: zolang de Aztec-Code (een soort QR-code) zichtbaar is, helpt dat haar niets. Spacek gebruikt een simpele 'barcode scanner' app om haar volledige naam te vinden. En op die manier heeft hij - afhankelijk van hoe laag de eisen van de vliegtuigmaatschappij in kwestie zijn - weer even veel gevaarlijke instrumenten in hand als in het eerste geval.

Oké. Doe wat je niet laten kan, maar bedek je naam, boekingscode, datum en aztec-code. Gebruik strategisch geplaatste voorwerpen, of teken er met zwart over. Blurren is een slecht idee: in sommige gevallen kan dat met speciale programma's weer ongedaan gemaakt worden, en hop, daar zijn je gevoelige gegevens weer.

Veel mensen vergeten dat je niet enkel met digitale versies voorzichtig moet zijn, maar ook met tickets en boarding passes op papier. Laat ze zeker niet in het vliegtuig liggen, en gooi ze weg na gebruik – liefst grondig verscheurd. Wie bijzonder veel last van paranoia heeft, kan een shredder gebruiken, of de gescheurde papierstukjes over verschillende vuilnisbakken verdelen. Maar het belangrijkste advies blijft: post je boarding pass gewoon niet op social media. Een foto van je zicht boven de wolken ziet er toch veel cooler uit.

Nattuurlijk, je bent trots op je nieuwe waggie, en nu wil je iedereen laten zien dat de sleutels direct naast je avocadotoast op tafel liggen. Verificatiepaus Henk Van Ess toont aan dat je daardoor de veiligheid van je wagen zodanig op het spel zet dat geen enkel schietgebedje je nog kan redden. (zie foto hieronder) Foto's van sleutels horen niet op Facebook, Twitter of Instagram.

Lees en huiver: op basis van de gefotografeerde silhouet en schaduwinval van je sleutel kan iemand met slechte bedoelingen in een 3D-programma met niet al te veel moeite een exact computermodel van die sleutel maken. De software volgt gewoon de vorm van een naar Flash omgezette foto, terwijl de crimineel alvast zijn 3D-printer laat opwarmen, en een leuke kunstharskleur kiest. De locatie van je auto of huis is via geotags of andere informatie uit social media waarschijnlijk ook gemakkelijk te achterhalen. Dertig minuten later is de kopiesleutel klaar – en meestal is die voldoende nauwkeurig om het slot in kwestie een paar keer te kunnen omdraaien.

Als je je sleutel per se online wil zetten, heb je geen Photoshop nodig om dat veilig te doen. Hou de sleutel vast aan zijn steel, of bedek minstens een derde van het onderste deel van de sleutel. Zo kan niemand de vorm kopiëren. En ook hier kan het nog gemakkelijker: toon gewoon je bakkie, en niet de informatie waarmee je hem kan stelen.