Никогда не выкладывайте фото со штрихкодами в Интернет

Новости

Базовые знания интернет-безопасности могут спасти ваш день, сэкономить внушительную сумму денег и сберечь нервы. Прежде чем подробнее поговорить о штрихкодах и о том, чего с ними делать не надо, разберем один недавний случай.

Никогда не выкладывайте фото со штрихкодами в Интернет

Что случилось?

12 июля этого года житель Москвы Максим Елфимов не смог попасть в СК «Олимпийский» на прощальный концерт Black Sabbath. Оказалось, что по его билету уже кто-то прошел. Максим был не единственной жертвой мошенников — в тот день с подобной проблемой столкнулось еще много людей.

Администрация не вошла в положение жертв, несмотря на то что билеты были именными, а пострадавшие имели при себе документы. Отчаявшись пройти на прощальный концерт своей любимой группы по приобретенному заранее билету, Елфимов купил новый, в самую дальнюю зону, и все-таки попал на Black Sabbath.

На следующий день Максим обратился в службу поддержки сервиса «Яндекс.Афиша», у которого он приобрел билет. Ответ пришел быстро: представители сервиса выразили сочувствие и предположили, что Максим опубликовал фотографии билетов в одной из соцсетей. В качестве компенсации Елфимову предложили бесплатный визит в кино. Кроме того, Максим написал пост на своей странице в Facebook, в котором рассказал о произошедшем. История привлекла внимание многих людей, и в конце концов о случившемся рассказали в СМИ.

Сам пострадавший был уверен, что на всех опубликованных им фотографиях часть штрихкода и цифры под ним были замазаны в графическом редакторе. На снимках, опубликованных в СМИ, действительно так и было. Однако позднее Максим вспомнил, что он публиковал фотографии билетов несколько раз, и девять месяцев назад в Instagram все-таки попал снимок билетов без купюр — с незаретушированными штрихкодами. Москвич так часто постил что-то в Instagram (по три-четыре раза в день), что совершенно забыл о том давнем посте. Елфимова очень расстроило это открытие. В конце он извинился перед читателями и даже сообщил о том, что собирается уйти из Facebook.

Почему нельзя публиковать фотографии билетов онлайн?

Дело в том, что злоумышленники могут скопировать штрихкод из опубликованной вами фотографии, вставить его в бланк электронного билета и без проблем использовать его. Это касается любых документов со штрихкодами: от билетов на концерт и самолет до выигрышных лотерейных талонов. Узнав штрихкод, преступники могут прийти вместо вас на концерт или перепродать ваш билет другим людям, обналичить выигрыш вместо вас или, например, испортить вам отпуск или командировку.

Причем в этом случае агентства по продаже билетов не виноваты — по правилам той же «Яндекс.Афиши» именно клиенты несут ответственность за передачу данных из билетов третьим лицам. Вывесить фото билета онлайн — это как раз и есть такая передача данных всем, кто пожелает их увидеть.

Стоит также помнить, что публикация билетов — это лучший способ сообщить ворам-домушникам, что такого-то числа в такое-то время суток вас не будет дома.

Зачем вообще нужны именные билеты, если их так легко подделать?

Один человек публикует билет онлайн, другой покупает засвеченный билет с рук — итог один: на концерт не попадают оба. Как же решить эту проблему? Конечно, организаторы могут проверять документы у владельцев именных билетов при входе — что-то вроде принципа двухфакторной аутентификации, только в реальной жизни. Но этот подход также далек от совершенства.

Во-первых, многим такой контроль не понравится. Во-вторых, на практике его сложно реализовать. Если мероприятие собирает 300 человек, проверить у них документы можно. Если 30 тысяч — уже нет. Представьте концерт, который никак не может начаться, так как зрители все еще ждут своей очереди — по два, по три часа. Перспектива не попасть на начало концерта из-за строгих мер безопасности совсем не радует.

Кроме того, брать паспорта на такие массовые мероприятия опасно — их могут украсть. С другой стороны, при желании организаторы концерта могут пойти навстречу и предоставить проштрафившимся жертвам хоть какое-то место, пусть и не такое хорошее. У этого подхода тоже есть свои минусы — некоторые люди злоупотребляют ситуацией: копируют билеты и проводят своих друзей на концерт бесплатно, а сами отправляются общаться с администрацией. Глобально эта проблема решится только тогда, когда мы перейдем на более совершенную систему проверки подлинности билетов. А до тех пор стоит проявлять бдительность и не публиковать чеки, билеты и документы онлайн.

Что, вообще никак нельзя публиковать билеты?

Чтобы опубликовать билет и не попасться, желательно понимать, как устроен штрихкод. Во-первых, существует линейные (или полосковые) штрихкоды, предназначенные для кодирования небольшого объема информации, и двухмерные штрихкоды, более известные как QR-коды, — для передачи большого объема данных.

В основе обычного, одномерного штрихкода лежит двоичный код: толстые и тонкие полоски на нем — это на самом деле нули и единицы. Последние полоски кода — это чаще всего контрольный разряд, цифра, по которой определяется правильность считывания. Эта цифра получается путем несложных математических операций с остальными цифрами. Билеты в кино, на концерт и на самолет нередко содержат не один, а несколько разрядов, которые подтверждают данные штрихкода.

Одни из самых распространенных двухмерных штрихкодов — это QR-коды. Чаще всего их используют для быстрого открытия сайта на мобильном устройстве, но не всегда: например, QR-код можно встретить в украинских железнодорожных билетах. РЖД, кстати, тоже печатает в своих билетах либо одномерный, либо двухмерный штрихкод (правда, не QR, а Aztec).

Если вы хотите выложить в Интернет фото билетов, вам придется замазать и сам штрихкод целиком, и цифры под ним. Сканер, используемый контроллерами, считывает только штрихкод, однако при желании злоумышленники могут его восстановить с помощью цифрового кода, указанного под ним.

QR-коды на документах тоже нужно ретушировать полностью. Дело в том, что во избежание ошибок при чтении сканер использует специальную систему коррекции, которая может восстановить часть стертого кода.

И все же мы не рекомендуем вам выкладывать билеты в Сеть даже с закрашенными кодами — достаточно изобретательные в области социальной инженерии мошенники по кусочку билета могут восстановить все остальное. Всегда хочется поделиться своим счастьем с друзьями, но чаще всего вполне достаточно написать в соцсети что-нибудь вроде: «Народ! Я иду на последний концерт Black Sabbath!»