航空公司泄露信息 80买鹿晗行程(3)
航空公司官网 “值机”系统可改他人座位
“不仅仅是第三方APP,就连很多航空公司官网都存在信息漏洞。”5月9日,一位兜售航班信息的商家介绍说,“很多航空官网上,都能查到陌生人航班信息。”
为了证明“所言非虚”,他向记者发来一份“查询指南”。指南称,不同航空公司,存在着不同的查询方法;“指南”上还详细地标明乘客在往返国内几个大城市之间时,所最常用的航空公司选择名单。
5月9日,新京报记者登录一家航空公司官网。按照上述流程指导,在输入同事姓名以及身份证号后,网站没有任何身份真假验证流程即转跳到相应航班页面。
该页面清楚地显示出记者同事所预订航班的飞行时间、飞行地点,以及所选择的座位等信息。新京报记者还发现,当点击对方座位信息时,网站系统还提示可以进行“退座重选”的操作。
“其实很多航空公司官网都存在或多或少的漏洞。”5月10日,一位航空行业资深人士说,“通常航空公司只确定乘客姓名和身份证即可,但很少对手机进行绑定,所以很多信息正是从这一漏洞泄露出去。”
记者登录几家知名航空公司的官网也发现,在办理登机流程时,只需要输入相应身份证和用户姓名即可,并没有通过注册时所绑定的手机号进行短信验证这一环节。
事实上,在多位“商家”传授航班信息查询方法时都特意叮嘱,查询者的姓名、身份证号码可以随便填写,但“务必要用自己的手机号码”。其原因正是“方便提示输入手机验证码时,好用来接受短信”。
“很难想象这种大型航空公司会出现如此漏洞。”上述商家对新京报记者说,“一家航空公司会员有3000多万人,这给了我们极大的利益空间。”
当记者向该商家咨询每月以“查询航班”的模式赚多少钱,他称,“几千到上万元”,“很多做得好的,每个月动辄近十万元”。
延伸:航空信息泄露渠道多 乘客维权取证难
“第三方APP以及官网所造成的信息泄露,只是整个航空行业冰山一角。如今航空信息泄露源头实在太多。”5月10日,一位多年从事航空管理工作的人士称,“泄密涉及环节太多,根本不清楚究竟是哪一环出现问题。”
新京报记者在调查时发现,尽管信息泄露渠道繁多,但源头指向了中航信Eterm系统。所谓Eterm系统,即为民航旅客订座系统,其是中航信信息系统下属系统之一。如今国内各大航空公司的订票系统,基本都使用的是中国民航信息集团公司系统。而这款系统面向航空公司、机场、机票销售代理等机构,主要提供航空客运业务、航空旅游电子分销等服务。
作为中航信系统核心之一,Eterm系统不仅可以查到航班的座位预订情况,还能详尽地查阅到每班航班上的订位编码,乘客的座位、舱位、姓名、证件号、电话号码等诸多隐私信息信息。
此前曾有国内媒体报道称,有权限查看并有可能泄露信息的源头,主要有机票代理商、航空公司工作人员、中航信工作人员,以及黑客这四大类人群。他们通过不同渠道和权限,在Eterm系统上查到乘客详细资料。
4月21日,《南方都市报》曾就Eterm系统报道称,经销商在中航信处购买Eterm系统后,中航信通常只会发出相应的单独账号,然而这一账号可以通过软件分出数个登录小号。这套软件任何人都可以下载,下载安装之后,只要有登录账号就可以访问中航信的数据库。
5月10日,记者在相应QQ群、贴吧等网友集中的网站发现,数家出租出售Eterm系统的商家混杂其中。而系统租赁价格也按照查询功能多少,从数百元到近万元不等。
“你只要购买航司B系统,能查到相关信息。”得知记者意欲查阅行程信息时,一位商家热情推荐到,“通过这个系统,你能查到包括身份证、姓名、联系方式、常用旅客卡等多个信息。”
由于从Eterm系统源头到乘客,中间经历了中航信、航空公司、票代、在线订购网站、第三方航空APP等多个环节。每个环节都存在信息泄露的可能性,也导致乘客在维权时,因无法精准地找到泄露源头,不得不面临着“取证困难”的困局。
实际上,中国民用航空局曾于2017年2月就《民航网络信息安全管理划定(暂行)(征求意见稿)》公开征求意见。
其中针对“退改签诈骗”、“航空诈骗”等问题做出规定:民航各单位应当制定旅客信息保护轨制,对在提供服务过程中收集、使用的旅客信息,应当采取相应措施严格保护,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。而对于此前曾多次爆出信息泄露的第三方平台,更是强调称,民航各单位将旅客信息转移或委托给其他组织或机构使用的,应当签订旅客信息保护协议,明确旅客信息使用范围和保护责任。
“规定具体能带来怎样的效果,现阶段谁也说不清楚。”前述多年从事航空管理工作人士称,“多个泄密渠道的存在,导致现在谁也不知道自己的信息被多少人掌握。”正文已结束,您可以按alt+4进行评论