Avkoda 2D streckkoden / QR koden på SAS boardingkortet

[dr-miles]

Inlägg från tråden: Hur bevisa status i gränslandet mellan Silver och Guld? | Sida 4 | BusinessClass.se forum | 350 000 inlägg om resor

AABack2ARN skrev:Texten i pdf:er är inte jättesvår att modifiera (givetvis beroende på hur filen skyddas - men givetvis finns en det en del verktyg som kan fixa till det mesta). Dock är det lite knepigare med koden som scannas.Klicka för att utvidga...

Det finns följande information i 2D streckkoden på SAS PDF boardingkortet.





Mx (antal flight i boardingkortet)

EFTERNAMN

FÖRNAMN

Titel

E

Amadeus bokningsnummer

avreseort

destination

flygbolagskod

flightnummer

myskokod 8 tecken

Seq.nummer 4 siffror

myskosiffror 3 siffror

>

myskokod 13 tecken

flygbolagskoden av bonuskortsnummer

bonuskortsnummer

myskosiffror 3 - 7 siffror

flygbolagskoden av bonuskortsnummer

statusnivå

myskosiffra 0 - 1 siffra
​



Exempel 1: en flight mellan Stockholm - Hamburg med SK2645, SAS EuroBonus Gold nummer inlagt



Kod:


M1MILES/DR MREABCDEF ARNHAMSK 2645 111C222F0001 123>12A3BC4567DEF 25
SK EBG123456789 *1234567SKG1





Exempel 1: två flighter mellan Stockholm - Shanghai med LH805 och LH732 med United Mileage Plus basmedlemnummer inlagt



Kod:


M2MILES/DR MREABCDEF ARNFRALH 0805 111C222F0001 123>12A3BC4567DEF 25
UA AB123456 *1234567UAB
ABCDEF FRAPVGLH 0732 111C222F0001 12A34 UA AB123456 12 1UAB



Formatet som SAS använder i sitt PDF boardingkort är PDF 417.

Det går att läsa PDF 417 streckkod med diverse appar.



Gissa vad som står i den här 2D streckkoden.

 

[in_sweden]

Vilket är precis varför folk borde vara väldigt försiktiga med att lägga upp bilder på sociala medier på sina boardingkort, där man ser streckkoden.



Sen, nu när jag har fått det förklarat för mig hur innehållet i koden är upplagt (något jag aldrig tänkt på att kolla upp), så inser jag ju hur pass enkelt det borde kunna vara att fuska sig själv in i loungen.

Checka in online, skriv ut PDF boardingkort, läs in streckkoden, ändra EB nummers prefix och även listad status bredvid på boardingkortet. Byt ut streckkoden och ha en extra kopia du bara visar upp för att komma in i loungen. Bedrägeri? Förmodligen. Frågan är om SAS system är smarta nog för att inse vad som händer, eller om de bara visar vad som de får in.

 

[sniff]

Jag TROR du måste ha ett valid EB-nummer som dessutom reser den dagen du drar koden i läsaren.

Jag provade att dra mitt TK*G i inrikesloungen på ARN en gång, det fungerade inte. Däremot fungerade EB*G.

Men ja, du kan ju modda vad du vill i en sådan där kod och se vad som händer.



@Dr. Miles Agehalls tio budord!

 

[agehall]

Jag skulle tro att streckkoden används för att hitta bokningen och att det är status i bokningen som sedan används.



Detta borde gå att testa genom att lägga in ett kort utan status, skriva ut boardingkortet och sedan byta till ett kort med status i bokningen.



Å andra sidan så skulle jag inte bli förvånad ifall flygbolag litar blint på information som man presenterar för dem. Gör man så på webben är man rätt rökt idag...

 

[dr-miles]

Jag har analyserat mina tidigare boardingkort från Air France, British Airways, Brussels Airlines, KLM, Lufthansa.







Mx (antal flight i boardingkortet)

Efternamn

Förnamn

Titel

E

Amadeus bokningsnummer

avreseort

destination

flygbolagskod

flightnummer

myskokod 8 tecken

Seq.nummer 4 siffror

myskokod 3 tecken

>

myskokod 11 tecken

flygbolagskod av operating carrier

myskosiffror 3 siffror

biljettnummer 13 siffror

flygbolagskod av operating carrier

Bonuskortets flygbolagskod

bonuskortsnummer

*

myskokod 11 tecken
​

 

[in_sweden]

agehall skrev:Jag skulle tro att streckkoden används för att hitta bokningen och att det är status i bokningen som sedan används.Detta borde gå att testa genom att lägga in ett kort utan status, skriva ut boardingkortet och sedan byta till ett kort med status i bokningen.Å andra sidan så skulle jag inte bli förvånad ifall flygbolag litar blint på information som man presenterar för dem. Gör man så på webben är man rätt rökt idag...Klicka för att utvidga...

Med tanke på folk som samlar poäng i andra program än de har status i, så måste vi ha medlemmar som har gjort detta någon gång.

Någon?

 

[sniff]

Jag funderade på det på någon skräpflight för att se om det gick, men blev aldrig av. Pratade med en agent om det här i veckan när jag bokade en komplicerad flight. SAS ska vara rätt bra på FQTS och FQTV, dvs använda status hos ett bolag och samla poäng till ett annat.

How To Switch Frequent Flyer Programs Seamlessly

 

[nemo]

Det är ju helt fantastiskt att @Dr. Miles gissar ut vad koden betyder.

Läs Resolution 792 IATA - Passenger Services Conference Resolutions Manual alt BCBP Implementation Guide IATA - Bar coded boarding passes

 

[Fredrik Jeanson]

Dr. Miles skrev:Inlägg från tråden:Hur bevisa status i gränslandet mellan Silver och Guld? | Sida 4 | BusinessClass.se forum | 350 000 inlägg om resorGissa vad som står i den här 2D streckkoden.Visa bifogad bild 52742Klicka för att utvidga...

Hahaha data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7. Underbart och skrämmande på samma gång. Varför sitter jag på jobbet, nu vill jag ju hem och scanna mina gamla boardingpass... data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7

 

[dr-miles]

Nemo skrev:Det är ju helt fantastiskt att@Dr. Milesgissar ut vad koden betyder.Läs Resolution 792IATA - Passenger Services Conference Resolutions Manualalt BCBP Implementation GuideIATA - Bar coded boarding passesKlicka för att utvidga...

Intressant att det finns info om kabinklass och stolnummer.

Så i teorin kan man skriva ut eget boardingkort med 1K i First class på en Lufthansa flight? data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7

(Disclaimer: Ej rekommenderat!!!)

 

[in_sweden]

Dr. Miles skrev:Intressant att det finns info om kabinklass och stolnummer.Så i teorin kan man skriva ut eget boardingkort med 1K i First class på en Lufthansa flight?Klicka för att utvidga...

Borde inte scannern som registrerar ens boarding hålla koll på plats enligt boardingkortet och jämfört med plats enligt seating chart? Varför skulle den annars lysa rött och säga ifrån om man har blivit kringflyttad sedan incheckning?



Sen så borde alla system där man scannar boardingkortet (åtminstone på flygplatser i norden), vara kapabla till att kolla upp mot bokningen. För annars borde inte systemet där man reser på endast kort (Visa/MC/Eurobonuskortet) fungera?

Så frågan är om dessa system är sammanlänkade eller inte egentligen

 

[nemo]

Datum skrivs i löpnummer, juliansk kalender. En enkel sammanställning finns på Julian Day Calendar

 

[orangewindies]

Dr. Miles skrev:Intressant att det finns info om kabinklass och stolnummer.Så i teorin kan man skriva ut eget boardingkort med 1K i First class på en Lufthansa flight?(Disclaimer: Ej rekommenderat!!!)Visa bifogad bild 52769Klicka för att utvidga...

Om stolnummer i koden inte stämmer med det i systemet så får man röd ljus och "SEAT ISSUE" vid gaten. Samma som om man byter stol efter att ha skrivit ut boardingkortet.

 

[nemo]

Det finns möjlighet att lägga in kontrollnr i BCBP



6.8. Issues and solutions

6.8.1. Fraud prevention



(Sid 77-78 i BCBP IATA, se länk ovan)



"Ill-intentioned persons may falsify their BCBP by changing the flight number or class of service. They may also simply print two copies of the BCBP and pass one to a friend, or even create a counterfeit BCBP. Technical solutions exist, e.g. algorithms, called certificates, which can for example secure the bar code if necessary.



Of course, a forged BCBP will not entitle the person carrying it with any right to travel, nor will it create any confusion with the system. The official information is stored in the airline’s system. It is recommended that a disclaimer state on the BCBP that the document itself has no value and is being issued for ease of processing only.



Hence when confronted with a problematic BCBP, e.g. the sequence number is not found in the system, the staff should request that the passenger return to the check-in desk.



To prevent any confusion, DB, the German Railways, have added a security feature to the bar code. In the DB case the agent enters a key, or certificate (see and on figure 63), that will be validated against the bar code. In an airport environment that validation could be automated and would prove that the bar code has been generated by an airline and has not been modified."

 

[nollbit]

Nemo skrev:Det finns möjlighet att lägga in kontrollnr i BCBPKlicka för att utvidga...

Signaturer är ju en smart lösning (så länge man inte läcker nyckeln) eftersom de går att verifiera offline.



Om jag designade en grind till en lounge så skulle jag låta den göra verifieringar online (dvs, inte lite din status i streckkoden utan kolla i bokningsystemet). Men; om bokningsystemet inte går att nå så skulle man lita på det som står i bokningen.



Risken för fusk är ganska liten (folk måste veta att bokningssytemet är offline just när de försöker fuska) men kundnöjdheten är stor eftersom grinden fungerar även när bokningsystemet är nere.

 

[tasselt]

Kul med alla spekulationer här data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7

Självklart kollas din informationen som står i streckkoden mot bokningen online både vid t ex boarding, säkerhetskontroll och vid loungepassage.

Samtidigt kollar systemet av att t ex namn och seating stämmer mot bokningssystemet, annars blir det som flera noterat rött ljus.

Även vid loungepassage så kollas din nivå i systemet mha namn, bokningsnummer, eurobonusnummer att du har rätt till access.



Skulle du t ex ha skrivit ut ditt boardingkort den 31/1 som EBG för resa den 1/2 men blivit nedgraderad till EBS under natten så blir det stopp i Loungepassagen, men boarding m.m går bra.

Boarding utan access till bokningssystemet går helt enkelt inte.

 

[mha321]

TasselT skrev:Kul med alla spekulationer härSjälvklart kollas din informationen som står i streckkoden mot bokningen online både vid t ex boarding, säkerhetskontroll och vid loungepassage.Samtidigt kollar systemet av att t ex namn och seating stämmer mot bokningssystemet, annars blir det som flera noterat rött ljus.Även vid loungepassage så kollas din nivå i systemet mha namn, bokningsnummer, eurobonusnummer att du har rätt till access.Skulle du t ex ha skrivit ut ditt boardingkort den 31/1 som EBG för resa den 1/2 men blivit nedgraderad till EBS under natten så blir det stopp i Loungepassagen, men boarding m.m går bra.Boarding utan access till bokningssystemet går helt enkelt inte.Klicka för att utvidga...

Boarding utan access går definitivt inte. Men boarding har tillgång till bokningssystemet. Inte till bonussystemet. Och ja, det är helt olika system. Och ja, vid boarding är det hård kontroll.



For bonussystem ser det annorlunda ut för det är inte lika viktig.



SAS kollar antagligen sitt eget system live, men inte andra. Lika så kollar lh sina system, men inte eurobonus.



Det är saker som vi vet (vi vet att de olika bolagen inte har fri access i varandras system - däremot kan de ha det i sina egna).



Däremot finns det antagligen någon asynkron process som skickar viss data tex från eurobonus till Lufthansa. Om denna data är aktuell kommer man direkt in i loungen. Om den felaktig eller bara för gammal, får man visa kortet.



Den delen är ren spekulation, men det är inte en orimlig systemlösning, och den matchar "symptomen".

 

[aaback2arn]

Jag är ganska övertygad om att bildskärmen bredvid agenten vid fast track på Arlanda visar vad som står i streckkoden och inte vad som står i bokningen. Detta då jag blivit omflyttad efter att ha skrivit ut boardingkortet hemma (planbyte).



Med det sagt är det inte säkert att jag kan helt förfalska ett boardingkort för att ta mig igenom säkerhetskontrollen utan det kan helt enkelt vara så att på skärmen skrivs det ut vad som står på boardingkortet...

 

[tasselt]

AABack2ARN skrev:Jag är ganska övertygad om attbildskärmenbredvid agenten vid fast track på Arlanda visar vad som står i streckkoden och inte vad som står i bokningen. Detta då jag blivit omflyttadefteratt ha skrivit ut boardingkortet hemma (planbyte).Med det sagt är det inte säkert att jag kan helt förfalska ett boardingkort för att ta mig igenom säkerhetskontrollen utan det kan helt enkelt vara så att på skärmen skrivs det ut vad som står på boardingkortet...Klicka för att utvidga...

Nja, eftersom jag också kan dra t ex mitt kreditkort (om jag har biljetten på det) så måste ju systemet kolla upp om det finns en bokning kopplat till mitt kortnummer, med avgång inom godkänd tid samt att biljetten eller din statusnivå ger tillträde till fast track - eller tillträde över huvud taget.



Jag hade aldrig godkänt ett säkerhetssystem där man enbart förlitar sig på det som står på boardingkortet utan att kontrollera det (och pricka av det) i systemet. Då kan du ju lika gärna printa ut och kopiera det 10 ggr och dela ut till kreti och pleti som lätt skulle kunna ta sig förbi säkerhetskontrollen.



Här kan ni läsa om Amadues Airport Passenger Verification och hur det fungerar. Förmodligen används detta eller något liknande system på flygplatserna i Sverige: http://www.amadeus.com/web/binaries/1333077607788/blobheader=application/pdf&blobheadername1=Content-Disposition&blobheadervalue1=inline;+filename=14AMIT009-CR-BR-Sales-Sheet-07-PassengerVerification-V6.pdf



"Why Amadeus?

- Real-time passenger checks performed against all airline DCSs and local airport databases"

 

[aaback2arn]

Jag håller med om att det borde finnas en online-verifiering under ytan. Men jag är också övertygad om att jag vid ett tillfälle redan fått en ny sittplats (på grund av planbyte) när jag passerade säkerhetskontrollen men på skärmen stod min ursprungliga sittplats (1C - men den platsen fanns inte på det nya planet).



Detta borde väl enkelt kunna kollas genom att checka in, skriva ut boardingkort, välja ny plats och visa upp det ursprungliga boardingkortet och se vad som visas på skärmen...



Jag har för övrigt också gått igenom boardingkortkontrollen två gånger med samma boardingkort då säkerhetskontrollen ville beslagta ett multiverktyg (av det lite större/dyrare slaget som jag inte ville bli av med). Så jag skuttade ut i avgångshallen och lämnade den till min "chaufför" och gick sedan tillbaka in för att bli säkerhetskontrollerad. Jag är ganska övertygad om att vakten bara scannade boardingkortet en gång till för att se att jag fortfarande hade åtkomst till fast track. Men eftersom han troligen kände igen mig kan han ha gjort något annorlunda just den gången.



Länken är intressant. Gillar dock inte riktigt denna del:

A seamless process, with DCS integrationThe moment the boarding pass is scanned at the airport a first range of verification and security checks is performed. The system retrieves passenger and flight information from both the airport AODB and the airline DCSs.Further checks can be made as the boarding pass is swiped at retail shops, food & beverage facilitiesand at the lounge access.Klicka för att utvidga...