הברקוד שעל כרטיס העלייה למטוס, לרוב מסוג PDF417, Aztec או QR פועל לפי תקן בינלאומי של ארגון התעופה האזרחית. הוא נועד לאפשר סריקה מהירה ואוטומטית בשערי הביטחון והעלייה למטוס, אבל במקביל הוא מכיל מחרוזת טקסט דיגיטלית מלאה בפרטים אישיים. כל מי שסורק את הברקוד באמצעות אפליקציה פשוטה יכול לפענח את המידע הזה בתוך שניות.
הברקוד כולל גם את פרטי הטיסה עצמם, שדות המוצא והיעד, מספר הטיסה, תאריך ושעת ההמראה, מחלקת הטיסה ומספר המושב. אם הנוסע חבר במועדון נוסע מתמיד והזין את פרטיו, גם מספר החבר עשוי להופיע במידע המוצפן. נתון נוסף הוא המספר הסידורי של הנוסע, כלומר באיזה סדר בוצע הצ׳ק אין לטיסה.
כדי להמחיש עד כמה המידע נגיש, די בסריקה אחת כדי לקבל מחרוזת טקסט ארוכה שנראית טכנית ולא מובנת. אלא שפירוק שלה מגלה את כל פרטי הנסיעה. שם מלא, קוד הזמנה, נתיב הטיסה מתל אביב לניו יורק, קוד חברת התעופה, מספר הטיסה, מחלקת השירות ומספר המושב. מבחינת אבטחת מידע, מדובר בקובץ טקסט פתוח לכל דורש.
הסכנה אינה תאורטית בלבד. גורמים זדוניים יכולים להשתמש במידע לצורך התחזות, ניסיונות הונאה, ביטול או שינוי פרטי טיסה, ולעיתים אף לצורך מתקפות פישינג ממוקדות. מעבר לכך, עצם פרסום מועד הטיסה והיעדרות מהבית עלול לחשוף נוסעים גם לסיכונים מחוץ לעולם הדיגיטלי.
בעידן שבו כל רגע מתועד ומועלה לרשת, האזהרה של שרית שי מהדהדת במיוחד: תמונה אחת שנראית חגיגית יכולה להפוך, בלי כוונה, לחשיפה מלאה של המידע האישי. רגע לפני שמצלמים סטורי בנתב״ג, שווה לעצור ולבדוק מה באמת רואים בתמונה. כרטיס העלייה למטוס הוא לא רק כרטיס, אלא מפתח דיגיטלי לכל הנסיעה.
התרעות פיקוד העורף