What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

Standardy · Karta pokładowa z kodem kreskowym IATA

Co jest zakodowane w kodzie kreskowym karty pokładowej?

Prawie wszystko, co linia lotnicza wie o Twojej podróży. Kod 2D (QR, Aztec lub PDF417) na karcie pokładowej zawiera Twoje imię i nazwisko, sześcio- lub siedmioznakowy numer rezerwacji, przewoźnika i numer lotu, trasę, datę wylotu, miejsce, klasę oraz numer programu lojalnościowego (jeśli jest). Razem imię i nazwisko oraz numer rezerwacji wystarczą, by zalogować się na stronie linii lotniczej i uzyskać dostęp do rezerwacji — dlatego zdjęcie karty pokładowej opublikowane publicznie stanowi realne zagrożenie bezpieczeństwa.

Zweryfikuj swoją kartę pokładową → Wszystkie standardy →

Format

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

Format nośnika jest elastyczny — większość linii lotniczych używa dziś kodów QR, europejskie koleje dużych prędkości i SBB używają Aztec, a kilka starszych przewoźników nadal stosuje PDF417. Zakodowany tekst jest identyczny we wszystkich trzech; różni się tylko wizualne kodowanie. Nasz skaner odczytuje wszystkie trzy symbologie i stosuje ten sam dekoder do uzyskanego tekstu.

Obowiązkowa część każdej karty pokładowej ma dokładnie 60 znaków: 2-znakowy nagłówek (kod formatu M + liczba segmentów), po nim 20 znaków imienia i nazwiska pasażera, 1 znak wskaźnika biletu elektronicznego, a następnie 37 znaków danych segmentu. Połączenia wielosegmentowe dodają kolejne 37 znaków na segment. Sekcja warunkowa (po obowiązkowych 60 znakach) zazwyczaj zawiera numer programu lojalnościowego, kod taryfy, źródło odprawy (internet / kiosk / agent) i ewentualne dane bezpieczeństwa dołączone przez przewoźnika.

Pełny układ pól

Nagłówek (2 znaki)

Kod formatu M + liczba segmentów (1–4). Bilet wielosegmentowy, np. SFO → JFK → LHR, ma liczbę segmentów 2 i zawiera dwa rekordy segmentów po kolei.

Imię i nazwisko pasażera (20 znaków)

NAZWISKO/IMIĘ wyrównane do lewej, uzupełnione spacjami. Długie nazwiska są skracane; imię i nazwisko wydrukowane na karcie pokładowej jest zawsze źródłem prawdy.

Wskaźnik biletu elektronicznego (1 znak)

Litera E dla biletu elektronicznego (każda nowoczesna karta) lub spacja dla papierowego (praktycznie nigdy nie spotykane).

Dane segmentu (37 znaków każdy)

PNR / numer rezerwacji (7 znaków), alfanumeryczny kod rezerwacji.
Lotnisko wylotu / przylotu (3 znaki każde), kody IATA.
Przewoźnik (3 znaki, wyrównany do lewej), kod IATA przewoźnika operacyjnego.
Numer lotu (5 znaków, z zerami wiodącymi).
Data lotu (3 znaki), dzień roku wg kalendarza juliańskiego (np. 250 = dzień 250 = 7 września).
Klasa (1 znak), Y / W / J / F / itp. (klasa rezerwacji).
Miejsce (4 znaki, z zerami wiodącymi).
Numer kolejkowy (5 znaków, z zerami wiodącymi), pozycja w kolejce odprawy.
Status pasażera (1 znak), 1=bagaż wymagany, 2=dostęp do salonu, 3=pominięcie kontroli bezpieczeństwa, F=na pokładzie, G=nadanie przy bramce itp.
Długość warunkowa (2 znaki hex), bajty danych warunkowych po tym segmencie.

Sekcja warunkowa (zmienna)

Po każdym segmencie opcjonalna sekcja zawierająca dane specyficzne dla linii: numer programu lojalnościowego, kod taryfy, limit bagażu, dane bezpieczeństwa linii i kilka rzadszych pól. Numer programu lojalnościowego jest tu najbardziej wrażliwy — to trwały identyfikator łączący każdy Twój lot z jednym kontem.

Sekcja bezpieczeństwa (zmienna, opcjonalna)

Niektórzy przewoźnicy dołączają podpis umożliwiający weryfikację karty offline przy bramce. Niewielu go egzekwuje. Obecność podpisu nie zmienia zawartości sekcji głównej.

Dlaczego publikowanie zdjęcia karty pokładowej jest ryzykowne

Kombinacja imienia i nazwiska pasażera + PNR (7-znakowego numeru rezerwacji) to funkcjonalne hasło na większości linii lotniczych. Wyszukiwania w opcji zarządzania rezerwacją przyjmują te dwa pola jako dowód tożsamości. Mając je, atakujący może:

Zmienić Twoje przypisane miejsce lub usunąć Cię z lotu.
Anulować bezpłatny upgrade lub usunąć Cię z listy oczekujących na upgrade.
Zobaczyć Twoje dane kontaktowe, w tym numer telefonu i adres e-mail z rezerwacji.
Przekierować mile programu lojalnościowego (niektóre linie, z dodatkowymi krokami).
Zobaczyć Twoje inne rezerwacje na tej samej linii (niektóre linie).
Zbudować ukierunkowany e-mail phishingowy — np. Drogi [Twoje imię], Twój lot United 123 SFO → JFK 7 września został przekierowany, kliknij tutaj, aby potwierdzić — który zawiera prawdziwe dane itinerarium. Odbiorca jest znacznie bardziej skłonny kliknąć niż w przypadku zwykłego e-maila phishingowego.

Kilka linii lotniczych po poprzednich incydentach dodało uwierzytelnianie wieloskładnikowe do procesu zarządzania rezerwacją. Wiele tego nie zrobiło.

Atak polegający na przekierowaniu mil był dokumentowany wielokrotnie. Pasażerowie, którzy opublikowali zdjęcie karty pokładowej na Twitterze lub Instagramie, tracili upgrady, mieli zmienione rezerwacje i byli celem phishingu dostosowanego do itinerarium w ciągu kilku godzin.

Co pokazuje nasz skaner i jak maskowany jest PNR

Widoczne domyślnie

Imię i nazwisko pasażera, przewoźnik + numer lotu (bez zer wiodących, np. AA123), trasa (SFO → JFK), data w formacie ISO (dzień juliański rozwinięty z inteligentnym przesunięciem roku), miejsce (bez zer wiodących, np. 12A), klasa, numer kolejkowy, status (z etykietą czytelną dla człowieka: Wejście na pokład, Dostęp do salonu itp.). Karty wielosegmentowe mają etykiety wierszy dla każdego segmentu.

Wrażliwe (ujawnianie po dotknięciu)

PNR jest maskowany za pomocą tego samego komponentu ujawniania po dotknięciu, którego używamy do haseł i sekretów 2FA. Zrzut ekranu wyniku bez naciśnięcia przycisku ujawnienia nie ujawnia numeru rezerwacji. Numer programu lojalnościowego, jeśli jest w sekcji warunkowej, w ogóle nie jest wyodrębniany przez analizator serwera — to stabilny identyfikator łączący wiele podróży i jego wyświetlanie na stronie wyników naruszałoby politykę prywatności.

Weryfikacja własnej karty pokładowej

Trzy uzasadnione powody, dla których ludzie skanują własne karty:

Sprawdzenie poprawności danych po ponownym wystawieniu. Linie lotnicze czasem błędnie wpisują miejsce lub numer lotu.
Weryfikacja upgradeu lub statusu podanego przez agenta przy bramce — bajt statusu pasażera jest źródłem prawdy.
Odzyskanie zagubionego PNR, gdy nie masz już e-maila z potwierdzeniem rezerwacji, ale masz zrzut ekranu karty.

Skaner działa w Twojej przeglądarce; tylko zdekodowany tekst trafia do naszego serwera (nie obraz). Wynik domyślnie maskuje PNR. Jeśli robisz zrzut ekranu wyniku do swoich archiwów, PNR pozostaje zamaskowany, chyba że go wyraźnie odkryjesz przed zrzutem.

Powiązane

Wypróbuj na swojej karcie pokładowej

Sfotografuj kod kreskowy (lub użyj kamery na stronie skanera) i upuść go. Wynik pokazuje każdy segment Twojego itinerarium z zamaskowanym PNR.

Otwórz skaner →