热点正文

航班信息遭泄露 中航信漏洞依旧存在

你有没有遇到过这种情况,突然接到“航班因故取消”的电话,自称航空公司的客服,能准确报出你的乘机信息,你因此掉以轻心,受骗上当。这两年,国内机票退改签的通信诈骗事件时有耳闻,与此同时,明星的航班信息公然在网上叫卖,十分嚣张。不光航班信息可售,连明星的证件、护照及手机号码亦可打包出售。而这一切矛头直指中航信系统。

值得注意的是,去年曾被央视曝光的中航信系统,事后并没有彻底堵住漏洞,网上依然有不少不法商家,公开出租中航信的民航旅客订座系统(eTerm系统),声称可以“提取航班信息”、“查询明星行踪”。

在QQ群、百度贴吧、部分行业网站、淘宝网,均有大量出租eTerm系统者,售价从数百元/月到数万元/月不等。笔者在网上以“eTerm系统出租”等关键字进行搜索,联系上一名服务商,其声称500元便可买5万个流量,可查询包括部分航司的旅客信息、具体旅客的出行记录等。在淘宝网上,一家出售eTerm系统的店铺小二表示,出租eTerm系统5000元/月,且限制每月查询1万次。

航班信息遭泄露
航班信息遭泄露

除了出租系统账号以外,有些服务商更是直接出售旅客信息。一名服务商称,自己使用的是航司B系统原始配置,“身份证、票号、电话都有”,7元一条,50条起售。

在一个服务商的微信朋友圈里,明星邓超的历史航班行程被堂而皇之地贴上,成为“追星系统”的广告。其所谓的“追星系统”,就是不法商户借用中国航信eTerm航司B系统打造的产品,并以此牟利。它可以通过相应指令,以个人身份证件信息查询其名下近期的航班行程信息。

中航信被称为“中国民航健康运动的神经”,是全球第三大GDS(航空旅游分销系统提供商),无论是在国内哪个订票网站或航空公司的官网订票,出行者的个人信息都会被提供给这个国内最大的机票分销系统服务提供商。俗称“黑屏系统”的民航旅客订座系统eTerm,是包括航空公司、机票代理人、机场都在使用的预定、查询、管理系统,分为机场A系统、航司B系统、代理人C系统三类。

一位业内人士称:“在有这个系统、指令的情况下,可以写一个简单脚本,通过机器不停查询近期航班上的旅客信息,然后提取航班、行程目的地、姓名、身份证、旅客卡、联系方式,再编辑这些信息,发送诈骗短信。”

需要指出的是,网上购买到的eTerm账号,并非中航信系统中的真实账号,而是来自于PID配置放大,将一个系统账号拆分成数十个子账号进行使用,每一个子账号享有与母账号相同的权限配置,而且子账号之间数据互通。

eTerm问世后不久,行业内就研发了这类放大软件,一方面为代理人节省账号购买成本,另一方面也大幅降低了代理人的行业门槛。这种放大软件至今依然被广泛使用,而它的放大使用,则成为个人航班数据泄露的主要渠道。因为一个代理人放大出票账号,意味着该母账号下所有的订票信息、旅客数据,都有可能被查阅到。

“部分与航空公司合作紧密的代理人拥有航司B系统账号,员工也可能把账号卖给他人。”一位航空公司人士透露:“另一方面航空公司本身也有放大账号的需求,账号租赁费每年需要几千万元。”

2010年开始,中航信因为这种放大系统带来的劣币效应,开始打击第三方配置平台,大量放大配置的行为因此消失。但是,由于技术门槛较低,这种放大行为始终存在。

2016年10月,央视《焦点访谈》曾曝光中航信信息泄露漏洞,当时,中航信曾回应称已经通过“清理外挂平台”、“限制代理人权限”、“推广账号双因素认证”、“账号行为管理”等多种举措保护旅客信息安全,并表示对违规行为坚决打击,但并未杜绝。

当个人航班信息遭到泄露时,用户该如何维权?有律师表示,由于取证困难,很少有人进行起诉。因为掌握信息的主体,包括航空公司、代理商、在线订购网站、中航信等,你很难证明究竟是从哪个渠道泄露信息的。