What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

Standardy · Palubní vstupenka s čárovým kódem IATA

Co je zakódováno v čárovém kódu palubní vstupenky?

Téměř vše, co letecká společnost ví o vaší cestě. 2D čárový kód (QR, Aztec nebo PDF417) na vaší palubní vstupence kóduje jméno, číslo letu, sedadlo, PNR a řadu dalších polí definovaných rezolucí IATA 792. Tato stránka vysvětluje, co je uvnitř, a proč byste nikdy neměli zveřejňovat fotografii palubní vstupenky.

Ověřte svoji palubní vstupenku → Všechny standardy →

Jaký je formát

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

Kontejner je flexibilní z hlediska symboliky — většina dopravců dnes používá QR kódy, evropská vysokorychlostní železnice a SBB používají Aztec a několik starších dopravců stále vydává PDF417. Kódovaný TEXT je ve všech třech případech shodný; liší se pouze vizuální kódování. Náš skener čte všechny tři symboliky a na výsledný text aplikuje stejný dekodér.

Povinná část každé palubní vstupenky má přesně 60 znaků: 2znakové záhlaví (kód formátu "M" + počet segmentů), za nímž následuje 20 znaků jména cestujícího, 1 znak indikátoru elektronické letenky a 37 znaků dat segmentu. Přestupní lety přidávají dalších 37 znaků na segment. Podmíněná sekce (po povinných 60 znacích) obvykle nese číslo věrnostního programu, tarifní třídu, zdroj odbavení (web / kiosek / agent) a případná bezpečnostní data dopravce.

Úplné rozložení polí

Záhlaví (2 znaky)

Kód formátu "M" + počet segmentů (1–4). Let s přestupem, např. SFO → JFK → LHR, má počet segmentů 2 a nese dva záznamy segmentů za sebou.

Jméno cestujícího (20 znaků)

"PŘÍJMENÍ/JMÉNO" zarovnáno vlevo, doplněno mezerami. Dlouhá jména jsou zkrácena; vytištěné jméno na průkazu je vždy zdrojem pravdy.

Indikátor elektronické letenky (1 znak)

"E" pro elektronickou letenku (každý moderní průkaz) nebo " " pro papírovou (prakticky se nevyskytuje).

Na segment (každý 37 znaků)

PNR / lokátor rezervace (7 znaků), referenční číslo rezervace.
Letiště odjezdu / příletu (po 3 znacích), tříznakové kódy IATA.
Dopravce (3 znaky, zarovnáno vlevo), kód IATA provozujícího dopravce.
Číslo letu (5 znaků, doplněno nulami).
Datum letu (3 znaky), juliánský den v roce (např. "250" = den 250 = 7. září).
Třída (1 znak), Y / W / J / F / atd. (rezervační třída).
Sedadlo (4 znaky, doplněno nulami).
Pořadové číslo (5 znaků, doplněno nulami), vaše pořadí při odbavení.
Stav cestujícího (1 znak): 1 = nutná zavazadla, 2 = přístup do salonku, 3 = bypass bezpečnostní kontroly, F = nastoupil, G = zavazadlo odbaveno u brány atd.
Délka podmíněné sekce (2 hexadecimální znaky), bajty podmíněných dat za tímto segmentem.

Podmíněná sekce (proměnná délka)

Za každým segmentem může následovat volitelný blok s dopravcem-specifickými daty: číslo věrnostního programu, kód tarifní třídy, povolená zavazadla, bezpečnostní data dopravce a několik méně obvyklých polí. Číslo věrnostního programu je zde nejcitlivější položkou — jde o dlouhodobý identifikátor spojující každý váš let s jediným účtem.

Bezpečnostní sekce (proměnná, volitelná)

Někteří dopravci připojují podpis, aby bylo možné průkaz ověřit offline u brány. Málokteří to vynucují. Přítomnost podpisu nemění obsah těla.

Proč je zveřejnění fotografie palubní vstupenky riskantní

Kombinace jména cestujícího + PNR (7znakový lokátor rezervace) stačí většině leteckých webů k přístupu k vaší rezervaci bez hesla. Útočník, který tuto kombinaci získá, může:

Změnit přidělení sedadla nebo vás z letu odhlásit.
Zrušit bezplatný upgrade nebo vás vyřadit z čekacího seznamu na upgrade.
Zobrazit vaše kontaktní údaje včetně telefonního čísla a e-mailu uvedeného v rezervaci.
Přesměrovat míle věrnostního programu (někteří dopravci, s dalšími kroky).
Zobrazit vaše další rezervace u stejné letecké společnosti (někteří dopravci).
Sestavit cílený phishingový e-mail: "Dobrý den, [vaše jméno], váš let United 123 SFO → JFK byl zrušen, klikněte zde pro přebooking."

Několik leteckých společností reagovalo na minulé incidenty přidáním vícefaktorové identifikace (e-mail, datum narození) k vyhledávání rezervací. Ne všechny. Dopravci bez tohoto opatření jsou zranitelní vůči samotnému PNR a jménu.

Útok na přesměrování mil byl zdokumentován vícekrát. Cestující, kteří přišli o míle na věrnostních účtech, ho stopovali k fotografiím palubních vstupenek sdíleným na sociálních sítích.

Co náš skener zobrazuje a jak je maskováno PNR

Standardně viditelné

Jméno cestujícího (jméno příjmení), dopravce + číslo letu (bez úvodních nul, např. "AA123"), letiště odjezdu a příletu, datum letu, třída, sedadlo a stav cestujícího jsou standardně viditelné — jde o údaje, které byste normálně kontrolovali u brány.

Citlivé (odhalíte klepnutím)

PNR je maskováno za stejnou komponentou "klepnutím odhalíte", jakou používáme pro hesla a kryptografické klíče. Zobrazí se až po záměrném klepnutí. Tento vzor je konzistentní v celém skeneru.

Ověření vlastní palubní vstupenky

Tři legitimní důvody, proč lidé skenují vlastní průkazy:

Ověření správnosti dat po opětovném vydání. Dopravci příležitostně chybují při opravách sedadel nebo přesměrování — ověřte kódovaný průkaz, nikoli obrazovku telefonu.
Ověření upgradu nebo statusu, který vám sdělil agent u brány.
Obnovení ztraceného PNR, pokud již nemáte potvrzovací e-mail rezervace.

Skener běží ve vašem prohlížeči; na náš server se dostane pouze dekódovaný text (nikoli obraz). PNR je maskováno ve výchozím zobrazení.

Viz také

Vyzkoušejte to na své palubní vstupence

Vyfoťte čárový kód (nebo použijte kameru na stránce skeneru) a vložte ho. Verdikt zobrazí jméno cestujícího, let, sedadlo, PNR (maskované) a veškerá podmíněná data nalezená v průkazu.

Otevřít skener →