就像没有买卖就没有杀害一样,有粉丝那么关心明星的行程等,自然就有人来找漏洞,给你搞到这些信息:
新京报记者调查发现,航空APP如今正成为乘客航班信息泄露的重要渠道,信息泄露的渠道包括了部分航空公司的官方APP、第三方航班APP以及航空公司的官网。
“只要知道明星的姓名和身份证号,能把他的预出行行程全部查到。”一位在网上贩卖明星行程的商家称。
新京报记者获知,明星的航班报价按照飞行区域不同,每条价格在15-40元左右。记者在花费80元后,即获得两份鹿晗近期的航班信息。此外,记者还花45元获得了两份周杰伦近期的航班信息。
记者在微博、微信和QQ群里,发现数个专营出售演艺明星航空信息的商家。
记者加过一个售卖明星航班信息的微信号,我们暂且叫它“大内密探”吧,其微信资料写着“专职销售‘明星航班’信息”。其朋友圈中,每天详细更新着鹿晗、张艺兴、迪丽热巴等数十位当红艺人最新的航班日程,以及起始地址。
“你想要谁的行程都可以。国内航班信息每条15元,港澳台以及国际航班信息30元一条。“大内密探”介绍说。
新京报记者在其朋友圈内看到,除了明星航班信息外,就连对方证件号、护照号都在以80元-500元不等的价格进行销售。
记者随即以“鹿晗粉丝”为名,希望得到其最新的行程。而对方解释由于“鹿晗太火了”,所以要价也比普通艺人费用更高一些。
在支付了80元后,对方很快发来了鹿晗的航班行程:5月17日从北京首都机场乘坐海航HU79××航班飞往捷克布拉格,5月19日乘坐海航HU79××从捷克布拉格返回北京首都机场。
记者随后在网上查询发现,鹿晗所参加的综艺节目《奔跑吧》最后一期录制场地正是位于捷克。
当记者咨询能否查询普通乘客航班号时,“大内密探”表示,“只要50元学费,能传授方法”,并承诺学会后能查询任何人的航班预出行信息。
经过不到20分钟的“教学指导”后,新京报记者发现查询方法,即是通过航班管家这些第三方航程APP的系统漏洞进行查询。但必要前提是需要知道对方的相关证件信息。
记者注册航班管家APP过程中,“大内密探”特意一再叮嘱“姓名、身份证都能随便填,但手机号一定要留自己的,方便接收验证码。”
进入APP后,记者在“行程服务”中点击“手机值机选座”选项,在“凭证号”以及“姓名”处输入同事的身份证号码和姓名后,开始选择不同的航空公司进行“办理值机”尝试。
最终,记者在切换到一家航空公司后,顺利找到同事10分钟前所预订的由北京飞往青岛的航程信息。点击进入后,同事姓名、航班起始地点、飞行日期、航班号以及座位号等相关信息均被详细显示出来。
“如此一来,你想查谁的登机情况都能轻松查到,到时候你还可以选择他相邻的座位。”““大内密探”说。
“其实很多航空公司官网都存在或多或少的漏洞。”5月10日,一位航空行业资深人士说,“通常航空公司只确定乘客姓名和身份证即可,但很少对手机进行绑定,所以很多信息正是从这一漏洞泄露出去。”
新京报记者登录几家知名航空公司的官网也发现,在办理登机流程时,只需要输入相应身份证和用户姓名即可,并没有通过注册时所绑定的手机号进行短信验证这一环节。
事实上,在多位“商家”传授航班信息查询方法时都特意叮嘱,查询者的姓名、身份证号码可以随便填写,但“务必要用自己的手机号码”。其原因正是“方便提示输入手机验证码时,好用来接受短信”。
“很难想象这种大型航空公司会出现如此漏洞。”上述商家对新京报记者说,“一家航空公司会员有3000多万人,这给了我们极大的利益空间。”
当记者向该商家咨询每月以“查询航班”的模式赚多少钱,他称,“几千到上万元”,“很多做得好的,每个月动辄近十万元”。
“第三方APP以及官网所造成的信息泄露,只是整个航空行业冰山一角。如今航空信息泄露源头实在太多。”5月10日,一位多年从事航空管理工作的人士称,“泄密涉及环节太多,根本不清楚究竟是哪一环出现问题。”
新京报记者在调查时发现,尽管信息泄露渠道繁多,但源头指向了中航信Eterm系统。所谓Eterm系统,即为民航旅客订座系统,其是中航信信息系统下属系统之一。如今国内各大航空公司的订票系统,基本都使用的是中国民航信息集团公司系统。而这款系统面向航空公司、机场、机票销售代理等机构,主要提供航空客运业务、航空旅游电子分销等服务。
作为中航信系统核心之一,Eterm系统不仅可以查到航班的座位预订情况,还能详尽地查阅到每班航班上的订位编码,乘客的座位、舱位、姓名、证件号、电话号码等诸多隐私信息信息。
此前曾有国内媒体报道称,有权限查看并有可能泄露信息的源头,主要有机票代理商、航空公司工作人员、中航信工作人员,以及黑客这四大类人群。他们通过不同渠道和权限,在Eterm系统上查到乘客详细资料。
4月21日,《南方都市报》曾就Eterm系统报道称,经销商在中航信处购买Eterm系统后,中航信通常只会发出相应的单独账号,然而这一账号可以通过软件分出数个登录小号。这套软件任何人都可以下载,下载安装之后,只要有登录账号就可以访问中航信的数据库。
5月10日,记者在相应QQ群、贴吧等网友集中的网站发现,数家出租出售Eterm系统的商家混杂其中。而系统租赁价格也按照查询功能多少,从数百元到近万元不等。
“你只要购买航司B系统,能查到相关信息。”得知记者意欲查阅行程信息时,一位商家热情推荐到,“通过这个系统,你能查到包括身份证、姓名、联系方式、常用旅客卡等多个信息。”
由于从Eterm系统源头到乘客,中间经历了中航信、航空公司、票代、在线订购网站、第三方航空APP等多个环节。每个环节都存在信息泄露的可能性,也导致乘客在维权时,因无法精准地找到泄露源头,不得不面临着“取证困难”的困局。
实际上,中国民用航空局曾于2017年2月就《民航网络信息安全管理划定(暂行)(征求意见稿)》公开征求意见。
其中针对“退改签诈骗”、“航空诈骗”等问题做出规定:民航各单位应当制定旅客信息保护轨制,对在提供服务过程中收集、使用的旅客信息,应当采取相应措施严格保护,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。而对于此前曾多次爆出信息泄露的第三方平台,更是强调称,民航各单位将旅客信息转移或委托给其他组织或机构使用的,应当签订旅客信息保护协议,明确旅客信息使用范围和保护责任。
“规定具体能带来怎样的效果,现阶段谁也说不清楚。”前述多年从事航空管理工作人士称,“多个泄密渠道的存在,导致现在谁也不知道自己的信息被多少人掌握。”
“所以,如果你做飞机,那么你的信息就泄露了,要是谁给你感兴趣,就能查到你的航班信息,甚至可能就坐到你航班上的隔壁。”
这不仅仅是App漏洞的错,还有整个航班信息系统的问题。期待整个行业信息安全尽快做起来。
爱盈利(aiyingli.com)移动互联网最具影响力的盈利指导网站。定位于服务移动互联网创业者,移动盈利指导。我们的目标是让盈利目标清晰可见!降低门槛,让缺乏经验、资金有限的个人和团队获得经验和机会,提高热情,激发产品。