What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

Standartlar · IATA Barkodlu Biniş Kartı

Biniş kartı barkodunda ne kodlanmıştır?

Bir havayolunun yolculuğunuz hakkında bildiği neredeyse her şey. Biniş kartınızdaki 2-D barkod (QR, Aztec veya PDF417), tam adınızı, altı veya yedi karakterlik rezervasyon referansınızı, taşıyıcı ve uçuş numarasını, rotayı, kalkış tarihini, koltuğu, bölme sınıfını, check-in sırasını ve kayıtlı sık uçuş numaranızı taşır. Birlikte, adınız ve rezervasyon referansı havayolunun web sitesine giriş yapmak ve rezervasyonunuza erişmek için yeterlidir; bu yüzden kamuya açık paylaşılan bir biniş kartı fotoğrafı gerçek bir güvenlik tehdididir.

Biniş kartınızı doğrulayın → Tüm standartlar →

Format nedir

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

Konteyner semboloji açısından esnektir; çoğu havayolları bugün QR kodları kullanmaktadır, Avrupa yüksek hızlı tren hatları ve SBB Aztec kullanmaktadır ve birkaç eski havayolları hâlâ PDF417 kullanmaktadır. Kodlanan METİN her üçünde de aynıdır; yalnızca görsel kodlama farklıdır. Tarayıcımız her üç sembolojiyi de okur ve elde edilen metne aynı çözücüyü uygular.

Her biniş kartının zorunlu kısmı tam olarak 60 karakterdir: 2 karakterlik başlık (format kodu “M” + segment sayısı), ardından 20 karakterlik yolcu adı, 1 karakterlik elektronik bilet göstergesi, ardından 37 karakterlik segment verisi. Çok segmentli bağlantılar her segment için ek 37 karakter ekler. Koşullu bölüm (zorunlu 60 sonrası) genellikle sık uçuş numarasını, tarife temelini, check-in kaynağını (web / kiosk / acente) ve havayolunun eklediği güvenlik verilerini taşır.

Tam alan düzeni

Başlık (2 karakter)

“M” format kodu + segment sayısı (1-4). Çok segmentli bir bilet, örneğin SFO → JFK → LHR, 2 segment sayısına sahiptir ve art arda iki segment kaydı taşır.

Yolcu adı (20 karakter)

“SOYADI/ADI” biçiminde sola hizalı, boşluklarla doldurulur. Uzun isimler kısaltılır; kartta yazan isim her zaman gerçeğin kaynağıdır.

Elektronik bilet göstergesi (1 karakter)

“E” elektronik bilet için (tüm modern kartlar) veya “ ” kağıt bilet için (neredeyse hiç görülmez).

Segment başına (her biri 37 karakter)

PNR / kayıt bulucu (7 karakter), rezervasyon referansı.
Kalkış / varış havalimanları (her biri 3 karakter), IATA üç harfli kodlar.
Taşıyıcı (3 karakter, sola hizalı), işletici havayolunun IATA kodu.
Uçuş numarası (5 karakter, sıfır dolgulu).
Uçuş tarihi (3 karakter), Julian yılgünü (örn. “250” = 250. gün = 7 Eylül).
Bölme (1 karakter), Y / W / J / F / vb. (rezervasyon sınıfı).
Koltuk (4 karakter, sıfır dolgulu).
Sıra numarası (5 karakter, sıfır dolgulu), check-in sıranız.
Yolcu durumu (1 karakter), 1=bagaj gerekli, 2=lounge erişimi, 3=güvenliği atla, F=uçağa bindi, G=kapıda teslim edildi, vb.
Koşullu uzunluk (2 hex karakter), bu segmentten sonraki koşullu veri bayt sayısı.

Koşullu bölüm (değişken)

Her segmentten sonra, havayoluna özgü ekstraları taşıyan isteğe bağlı bir bölüm: sık uçuş numarası, tarife kodu, bagaj hakkı, havayoluna özgü güvenlik verisi ve daha az yaygın birkaç alan. Sık uçuş numarası buradaki en gizlilik hassas öğedir; uçtuğunuz her uçuşu tek bir hesaba bağlayan uzun ömürlü bir tanımlayıcıdır.

Güvenlik bölümü (değişken, isteğe bağlı)

Bazı havayolları kapıda çevrimiçi bağlantı olmadan doğrulanabilmesi için karta imza ekler. Çok azı bunu zorunlu kılar. İmzanın varlığı, gövdedeki içeriği değiştirmez.

Biniş kartı fotoğrafı paylaşmak neden risklidir

Yolcu adı + PNR (7 karakterlik rezervasyon referansı) kombinasyonu çoğu havayolunda işlevsel olarak bir parola gibi davranır. “Rezerasyonumu yönet” aramaları bu iki alanı kimlik kanıtı olarak kabul eder. Bunlarla bir saldırgan şunları yapabilir:

Koltuk atamanızı değiştirmek veya sizi uçuştan çıkarmak.
Ücretsiz bir yükseltmeyi iptal etmek veya sizi yükseltme bekleme listesinden çıkarmak.
Rezervasyondaki telefon numarası ve e-posta dahil iletişim bilgilerinizi görmek.
Sık uçuş millerini yönlendirmek (bazı havayolları, ek adımlarla).
Aynı havayolundaki diğer rezervasyonlarınızı görmek (bazı havayolları).
Gerçek güzergah ayrıntılarını kullanan hedefli bir kimlik avı e-postası oluşturmak: “Sayın [adınız], United 123 sefer sayılı SFO → JFK uçuşunuz 7 Eylül'de yeniden rezerve edildi, onaylamak için tıklayın.” Alıcı, genel bir kimlik avı e-postasına kıyasla tıklama olasılığı çok daha yüksektir.

Birçok havayolu, geçmişteki olaylara yanıt olarak rezervasyon yönetimi akışına çok faktörlü kimlik kanıtı ekledi. Pek çoğu eklemedi.

Mil yönlendirme saldırısı defalarca belgelenmiştir. Biniş kartı fotoğrafını tweet atan veya Instagram'da paylaşan yolcular, saatler içinde yükseltmelerini kaybetmiş, rezervasyonları değiştirilmiş ve güzergahlarıyla eşleşen kimlik avı saldırılarına maruz kalmıştır.

Tarayıcımızın ortaya koyduğu bilgiler ve PNR'nin nasıl maskelendiği

Varsayılan olarak görünür

Yolcu adı (ad soyad), taşıyıcı + uçuş numarası (sıfır kırpılmış, örn. “AA123”), rota (SFO → JFK), ISO formatında tarih (Julian günü akıllı yıl ilerleme ile genişletilmiş), koltuk (sıfır kırpılmış, örn. “12A”), bölme sınıfı, sıra numarası, durum (insan etiketiyle: “Uçağa Bindi”, “Lounge Erişimi” vb.). Çok segmentli kartlar her segment için satır etiketleri alır.

Hassas (dokunarak görüntüle)

PNR, parolalar ve 2FA sırrı için kullandığımız dokunarak göster bileşeninin arkasında maskelenir. Ortaya çıkar düğmesine dokunulmadan alınan kararın ekran görüntüsü rezervasyon referansını sızdırmaz. Koşullu bölümde varsa sık uçuş numarası, sunucu çözümleyicisi tarafından hiç çıkarılmaz; birden fazla yolculuğu birbirine bağlayan kalıcı bir kimlik belirteci olduğundan, bir karar sayfasında gösterilmesi gizlilik duruşunu zedeleyecektir.

Kendi biniş kartınızı doğrulama

İnsanların kendi kartlarını taramasının üç meşru nedeni vardır:

Yeniden düzenleme sonrası verilerin doğru olduğunu onaylayın. Havayolları zaman zaman koltuk veya uçuş numarasını yanlış yazabilir.
Kapı görevlisinin söylediği yükseltme veya durumu kontrol edin; yolcu durumu baytı gerçeğin kaynağıdır.
Kayıp bir PNR'yi kurtarın rezervasyon onay e-postası artık elinizde olmasa da kartın ekran görüntüsü hâlâ varsa.

Tarayıcı tarayıcınızda çalışır; yalnızca çözülen metin sunucumuza ulaşır (görüntü değil). Karar, PNR'yi varsayılan olarak maskeler. Kayıtlarınız için kararın ekran görüntüsünü alıyorsanız, ekran görüntüsünden önce açıkça ortaya çıkarmadığınız sürece PNR maskeli kalır.

İlgili

Biniş kartınızda deneyin

Barkodu fotoğraflayın (veya tarayıcı sayfasındaki kamerayı kullanın) ve bırakın. Karar, PNR maskelenmiş halde güzergahınızın her segmentini gösterir.

Tarayıcıyı aç →