What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

المعايير · بطاقة الصعود ذات الرمز الشريطي من IATA

ما الذي يُشفَّر في الرمز الشريطي لبطاقة الصعود؟

تقريباً كل ما تعرفه شركة الطيران عن رحلتك. يحمل الرمز الشريطي ثنائي الأبعاد (QR أو Aztec أو PDF417) على بطاقة صعودك اسمك الكامل، ومرجع حجزك المكوّن من ستة أو سبعة أحرف، والناقل ورقم الرحلة، والمسار، وتاريخ المغادرة، والمقعد، ودرجة المقصورة، وتسلسل تسجيل الوصول، وأي رقم مسافر متكرر مسجّل. مجتمعاً، يكفي اسمك مع مرجع الحجز للدخول إلى موقع شركة الطيران والاطلاع على حجزك، وهذا هو السبب في أن صورة بطاقة الصعود المنشورة علناً تُشكّل خطراً أمنياً حقيقياً.

تحقق من بطاقة الصعود → جميع المعايير →

ما هو التنسيق

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

الحاوية مرنة من حيث الرمز؛ تستخدم معظم شركات الطيران اليوم رموز QR، فيما تستخدم سكك الحديد الأوروبية عالية السرعة وSBB رموز Aztec، وبعض الناقلات القديمة لا تزال تُصدر PDF417. النص المُشفَّر متطابق في الثلاثة جميعها؛ الاختلاف فقط في الترميز البصري. يقرأ ماسحنا الرموز الثلاثة ويطبّق فعلياً نفس المُفكّك على النص الناتج.

الجزء الإلزامي من كل بطاقة صعود هو 60 حرفاً بالضبط: ترويسة من حرفين (رمز التنسيق "M" + عدد المقاطع) تليها 20 حرفاً لاسم المسافر، وحرف واحد لمؤشر التذكرة الإلكترونية، ثم 37 حرفاً من بيانات المقطع. تضيف الرحلات المتعددة 37 حرفاً إضافياً لكل مقطع. يحمل القسم الشرطي (بعد الحرف الستين الإلزامي) عادةً رقم المسافر المتكرر وأساس التعريفة ومصدر تسجيل الوصول (إنترنت / كشك / وكيل) وأي بيانات أمان أضافها الناقل.

تخطيط الحقول الكامل

الترويسة (حرفان)

رمز التنسيق "M" + عدد المقاطع (من 1 إلى 4). تحتوي التذكرة متعددة المقاطع، مثل SFO → JFK → LHR، على عدد مقاطع يساوي 2 وتحمل سجلات مقطعين متتاليين.

اسم المسافر (20 حرفاً)

"LASTNAME/FIRSTNAME" محاذاة لليسار، تُملأ الفراغات بمسافات. الأسماء الطويلة تُقطع؛ الاسم المطبوع على البطاقة هو المرجع الحقيقي دائماً.

مؤشر التذكرة الإلكترونية (حرف واحد)

"E" للتذكرة الإلكترونية (كل بطاقات الصعود الحديثة) أو " " للتذكرة الورقية (نادرة الحدوث فعلياً).

لكل مقطع (37 حرفاً لكل منهما)

رقم المرجع / PNR (7 أحرف)، مرجع الحجز.
مطارا الانطلاق والوصول (3 أحرف لكل منهما)، رموز IATA الثلاثية.
الناقل (3 أحرف، محاذاة لليسار)، رمز IATA لشركة الطيران المشغّلة.
رقم الرحلة (5 أحرف، مبطّنة بأصفار).
تاريخ الرحلة (3 أحرف)، رقم اليوم في السنة الميلادية (مثلاً "250" = اليوم 250 = 7 سبتمبر).
الدرجة (حرف واحد)، Y / W / J / F / إلخ (فئة الحجز).
المقعد (4 أحرف، مبطّنة بأصفار).
رقم التسلسل (5 أحرف، مبطّنة بأصفار)، ترتيب تسجيل وصولك.
حالة المسافر (حرف واحد): 1=يلزم شُحن الأمتعة، 2=دخول الصالة، 3=تجاوز الأمن، F=بدأ الصعود، G=تسجيل عند البوابة، إلخ.
طول القسم الشرطي (حرفان سداسيان)، عدد بايتات البيانات الشرطية بعد هذا المقطع.

القسم الشرطي (متغير)

بعد كل مقطع، يوجد حقل اختياري يحمل البيانات الخاصة بالشركة: رقم المسافر المتكرر، ورمز أساس التعريفة، ومخصص الأمتعة، وبيانات الأمان الخاصة بالشركة، وعدد من الحقول الأقل شيوعاً. رقم المسافر المتكرر هو العنصر الأكثر حساسية هنا من حيث الخصوصية، إذ يُعدّ معرّفاً طويل الأمد يربط كل رحلة أجريتها بحساب واحد.

قسم الأمان (متغير، اختياري)

تضيف بعض شركات الطيران توقيعاً للتحقق من البطاقة دون اتصال بالإنترنت عند البوابة. قلّة منها تُطبّق ذلك فعلياً. وجود التوقيع لا يغيّر مضمون البطاقة.

لماذا نشر صورة بطاقة الصعود أمر محفوف بالمخاطر

يُعدّ الجمع بين اسم المسافر + رقم PNR (مرجع الحجز المكوّن من 7 أحرف) كلمة مرور وظيفية لدى معظم شركات الطيران. تقبل خدمات "إدارة حجزي" هذين الحقلين دليلاً على الهوية. بامتلاكهما، يستطيع المهاجم:

تغيير مقعدك، أو إلغاء حجزك في الرحلة.
إلغاء ترقية مجانية أو إزالتك من قائمة انتظار الترقيات.
الاطلاع على بياناتك، بما في ذلك رقم الهاتف والبريد الإلكتروني المرتبطان بالحجز.
تحويل أميال المسافر المتكرر (لدى بعض الشركات مع خطوات إضافية).
الاطلاع على حجوزاتك الأخرى لدى نفس شركة الطيران (لدى بعض الشركات).
إرسال رسالة تصيّد موجّهة: "مرحباً [اسمك]، رحلتك United 123 SFO → JFK بتاريخ 7 سبتمبر أُعيد حجزها، انقر هنا للتأكيد"، وهي تتضمن تفاصيل حقيقية من مسار رحلتك. من المرجح جداً أن يضغط المستلم عليها مقارنةً برسالة تصيّد عامة.

استجابت عدة شركات طيران لحوادث سابقة بإضافة مصادقة متعددة العوامل إلى خدمة إدارة الحجوزات. كثير منها لم يفعل ذلك بعد.

ووُثّق هجوم تحويل الأميال مرات عديدة. فقد مسافرون نشروا صوراً لبطاقات صعودهم على تويتر أو إنستغرام ترقياتهم، وتعرّضوا لنقل حجوزاتهم، واستُهدفوا برسائل تصيّد تتضمن تفاصيل مسار رحلاتهم الحقيقية في غضون ساعات.

ما يظهره ماسحنا، وكيف يُخفى رقم PNR

مرئي افتراضياً

اسم المسافر (الأول والأخير)، الناقل + رقم الرحلة (بدون أصفار بادئة، مثلاً "AA123")، المسار (SFO → JFK)، التاريخ بتنسيق ISO (يوم السنة مع تحديد السنة الذكي)، المقعد (بدون أصفار بادئة، مثلاً "12A")، درجة المقصورة، رقم التسلسل، الحالة (مع تسمية بشرية: "بدأ الصعود"، "الدخول للصالة"، إلخ). تحصل الرحلات متعددة المقاطع على تسميات صف لكل مقطع.

حساس (اضغط للإظهار)

يُخفى رقم PNR خلف نفس مكوّن "اضغط للإظهار" الذي نستخدمه لكلمات المرور ورموز المصادقة الثنائية. لا تُفصح لقطة شاشة للحكم دون الضغط على زر الإظهار عن مرجع الحجز. أما رقم المسافر المتكرر، حين يكون موجوداً في القسم الشرطي، فلا يُستخرج إطلاقاً من قِبل المحلّل الخادمي؛ إذ يُعدّ معرّفاً ثابتاً يربط رحلات متعددة بحساب واحد، وإظهاره في صفحة الحكم سيُبطل الموقف الخصوصي.

التحقق من بطاقة صعودك الخاصة

ثلاثة أسباب مشروعة يقوم فيها الناس بمسح بطاقتهم الخاصة:

التحقق من صحة البيانات بعد إعادة إصدار البطاقة. تُخطئ شركات الطيران أحياناً في رقم المقعد أو الرحلة.
التثبّت من الترقية أو الحالة التي أخبرك بها مسؤول البوابة؛ بايت حالة المسافر هو المرجع الحقيقي.
استرداد رقم PNR المفقود حين لم تعد لديك رسالة تأكيد الحجز لكنك لا تزال تملك لقطة شاشة للبطاقة.

يعمل الماسح في متصفحك؛ النص المُفكَّك فقط هو ما يصل إلى خادمنا (وليس الصورة). يُخفي الحكم رقم PNR افتراضياً. إن التقطت لقطة شاشة للحكم لسجلاتك، يظل رقم PNR مخفياً ما لم تضغط على إظهاره قبل اللقطة.

جرّبه على بطاقة صعودك

التقط صورة للرمز الشريطي (أو استخدم الكاميرا في صفحة الماسح) وأسقطها. يعرض الحكم كل مقطع من مسار رحلتك مع إخفاء رقم PNR.

افتح الماسح →