1. Що трапилося?
2. Чому не можна публікувати фотографії квитків онлайн?
3. Навіщо взагалі потрібні іменні квитки, якщо їх так легко підробити?
4. Що, взагалі ніяк не можна публікувати квитки?

Наше деловое партнерство www.banwar.org

Базові знання інтернет-безпеки можуть врятувати ваш день, заощадити значну суму грошей і зберегти нерви. Перш ніж докладніше поговорити про штрихкодах і про те, чого з ними робити не треба, розберемо один недавній випадок.

Що трапилося?

12 липня цього року житель Москви Максим Елфимов не зміг потрапити в СК «Олімпійський» на прощальний концерт Black Sabbath. Виявилося, що за його квитку вже хтось пройшов. Максим був не єдиною жертвою шахраїв - в той день з подібною проблемою зіткнулося ще багато людей.

Адміністрація не увійшла в стан жертв, не дивлячись на те що квитки були іменними, а постраждалі мали при собі документи. Зневірившись пройти на прощальний концерт своєї улюбленої групи по придбаному заздалегідь квитку, Елфимов купив новий, в найдальшу зону, і все-таки потрапив на Black Sabbath.

На наступний день Максим звернувся в службу підтримки сервісу «Яндекс.Афіша», у якого він придбав квиток. Відповідь прийшла швидко: представники сервісу висловили співчуття і припустили, що Максим опублікував фотографії квитків в одній з соцмереж. В якості компенсації Єлфімову запропонували безкоштовний візит в кіно. Крім того, Максим написав пост на своїй сторінці в Facebook, в якому розповів про те, що сталося. Історія привернула увагу багатьох людей, і врешті-решт про те, що трапилося розповіли в ЗМІ .

Сам потерпілий був упевнений, що на всіх опублікованих їм фотографіях частина штрихкоду і цифри під ним були замазані в графічному редакторі. На знімках, опублікованих в ЗМІ, дійсно так і було. Однак пізніше Максим згадав, що він публікував фотографії квитків кілька разів, і дев'ять місяців тому в Instagram все-таки потрапив знімок квитків без купюр - з незаретушірованнимі штрихкодами. Москвич так часто постил щось в Instagram (по три-чотири рази на день), що зовсім забув про те давнє пості. Елфимова дуже засмутило це відкриття. В кінці він вибачився перед читачами і навіть повідомив про те, що збирається піти з Facebook.

Чому не можна публікувати фотографії квитків онлайн?

Справа в тому, що зловмисники можуть скопіювати штрихкод з опублікованої вами фотографії, вставити його в бланк електронного квитка і без проблем використовувати його. Це стосується будь-яких документів зі штрих-кодами: від квитків на концерт і літак до виграшних лотерейних талонів. Дізнавшись штрихкод, злочинці можуть прийти замість вас на концерт або перепродати ваш квиток іншим людям, перевести в готівку виграш замість вас або, наприклад, зіпсувати вам відпустку або відрядження.

Причому в цьому випадку агентства з продажу квитків не винні - за правилами тієї ж «Яндекс.Афіші» саме клієнти несуть відповідальність за передачу даних з квитків третім особам. Вивісити фото квитка онлайн - це якраз і є така передача даних всім, хто побажає їх побачити.

Варто також пам'ятати, що публікація квитків - це кращий спосіб повідомити злодіям-домушникам, що такого-то числа в такий-то час доби вас не буде вдома.

Навіщо взагалі потрібні іменні квитки, якщо їх так легко підробити?

Одна людина публікує квиток онлайн, інший купує засвічений квиток з рук - підсумок один: на концерт не потрапляють обидва. Як же вирішити цю проблему? Звичайно, організатори можуть перевіряти документи у власників іменних квитків при вході - щось на зразок принципу двофакторної аутентифікації , Тільки в реальному житті. Але цей підхід також далекий від досконалості.

По-перше, багатьом такий контроль не сподобається. По-друге, на практиці його складно реалізувати. Якщо захід збирає 300 осіб, перевірити у них документи можна. Якщо 30 тисяч - вже немає. Уявіть концерт, який ніяк не може розпочатися, так як глядачі все ще чекають своєї черги - по два, по три години. Перспектива не попасти на початок концерту через суворих заходів безпеки зовсім не радує.

Крім того, брати паспорти на такі масові заходи небезпечно - їх можуть вкрасти. З іншого боку, при бажанні організатори концерту можуть піти назустріч і надати проштрафилися жертвам хоч якесь місце, нехай і не таке гарне. У цього підходу теж є свої мінуси - деякі люди зловживають ситуацією: копіюють квитки і проводять своїх друзів на концерт безкоштовно, а самі вирушають спілкуватися з адміністрацією. Глобально ця проблема вирішиться тільки тоді, коли ми перейдемо на більш досконалу систему перевірки автентичності квитків. А до тих пір варто проявляти пильність і не публікувати чеки, квитки і документи онлайн.

Що, взагалі ніяк не можна публікувати квитки?

Щоб опублікувати квиток і не попастися, бажано розуміти, як влаштований штрихкод. По-перше, існує лінійні (або Полоскова) штрих-коди, призначені для кодування невеликого обсягу інформації, і двомірні штрих-коди, більш відомі як QR-коди, - для передачі великого обсягу даних.

В основі звичайного, одновимірного штрихкоду лежить двійковий код: товсті і тонкі смужки на ньому - це насправді нулі і одиниці. Останні смужки коду - це найчастіше контрольний розряд, цифра, за якою визначається правильність зчитування. Ця цифра виходить шляхом нескладних математичних операцій з іншими цифрами. Квитки в кіно, на концерт і на літак нерідко містять не один, а кілька розрядів, які підтверджують дані штрих-коду.

Одні з найпоширеніших двомірних штрих-кодів - це QR-коди. Найчастіше їх використовують для швидкого відкриття сайту на мобільному пристрої, але не завжди: наприклад, QR-код можна зустріти в українських залізничних квитках. РЖД, до речі, теж друкує в своїх квитках або одномірний, або двомірний штрих-код (правда, не QR, а Aztec ).

Якщо ви хочете викласти в Інтернет фото квитків, вам доведеться замазати і сам штрихкод цілком, і цифри під ним. Сканер, який використовується контролерами, зчитує тільки штрихкод, однак при бажанні зловмисники можуть його відновити за допомогою цифрового коду, зазначеного під ним.

QR-коди на документах теж потрібно ретушувати повністю. Справа в тому, що щоб уникнути помилок при читанні сканер використовує спеціальну систему корекції, яка може відновити частину стертого коду.

І все ж ми не рекомендуємо вам викладати квитки в Інтернет навіть з зафарбованими кодами - досить винахідливі в області соціальної інженерії шахраї по шматочку квитка можуть відновити все інше. Завжди хочеться поділитися своїм щастям з друзями, але найчастіше цілком достатньо написати в соцмережі що-небудь на зразок: «Народ! Я йду на останній концерт Black Sabbath! »