揭秘航空数据泄露源头 多渠道泄露屡禁不止
21世纪经济报道 | 2017-04-21 10:33:27

2012年开始,国内机票退改签电信诈骗事件开始爆发,此类诈骗在2015年前后进入高峰期,各大航空公司、OTA平台因此被不断投诉。中航信因此备受困扰,虽然一直在完善自身管理,并推动上下游保护旅客信息,收效却并不理想。账号放大是中航信数据泄露的主要渠道,但账号放大却是国内代理人管理体系下的必然产物。国内外的航空信息化目前普遍处于一个更新迭代的关键时期,曾经为中国民航信息化做出突出贡献的中航信也没有停止步伐,技术革新是它面临的一个重要挑战。

账号放大是中航信数据被通过各种主体特别是不法商户泄露的主要渠道,但账号放大却是国内代理人管理体系下的必然产物。

明星邓超的历史航班行程被人堂而皇之贴在了微信朋友圈中,成为“追星系统”的广告。“追星系统”是不法商户借用中国航信eTerm航司B系统打造的产品,并以此牟利,可以通过相应指令,以个人身份证件信息查询其名下近期航班行程信息。中航信被称为“中国民航健康运动的神经”,是全球第三大GDS(航空旅游分销系统提供商),eTerm是包括航空公司、机票代理人、机场都在使用的预定、查询、管理系统。

上述“追星系统”来自一个名为“午午午午”的淘宝店铺,通过旺旺聊天,记者添加了“午午午午”的微信,并发现了这张邓超行程的图片。该图片直接截取自eTerm黑屏系统,通过“DETR:NI”指令,展示了邓超的身份证,以及接近10次的历史行程信息。而且,经过系统演示,店主向记者贴出了一张邓超近一个月包括国航航班在内的最新行程记录。

通过朋友圈中展示信息,该店铺自称“深圳高稳快科技”,并宣称出租 “eTerm多航大系统”,并且配备了齐全的ML、RT、DETR等指令。据航空公司内部人士介绍,“ML是航空公司系统专用指令,一次可以提取整个航班上的所有旅客信息,RT也是航司提取乘客信息的指令。”该店铺向记者演示了DETR、RT指令,但并未演示ML指令。该出租系统售价接近5000元/月,且限制每月1万次查询。

需要指出,记者咨询了两家出售“飞机行程单”的淘宝店铺,均表示出售eTerm系统,此外,在QQ群、百度贴吧,部分行业网站均有大量出租eTerm系统者,售价从数百元/月到数万元/月不等。此外,也有人以7元/条的价格明码标价出售实时机票数据。这些,都成为航空信息泄露的源头。

数据泄露门槛低

记者在上述渠道购买了两套eTerm系统账号,售价总计1300元。

其中一套为代理人查票账号(AVH),该系统主要作用是为机票代理人通过AVH指令查询可售航班、票价等信息,但也可以根据DETR指令定位乘客半年内的行程。通过中航信官网下载eTerm3.9版本以及指令手册,从0基础到熟练使用部分指令仅需要约1个小时。

录入卖家提供的账号、密码、服务器地址、端口等信息后,登录eTerm系统,记者通过“DETR:NI/身份证”指令,查询多名同事信息,90%的同事行程可查,可以查询票价、预定时间、姓名、身份证号、常用旅客卡等数据。不过,行程信息中存在部分缺漏。卖家告诉记者:“这套系统覆盖率只有60%,在航空公司官网预定的机票,代理人系统里无法查询,航司并不跟代理人共享这些数据。”

行业内将eTerm系统分为机场A系统、航司B系统、代理人C系统三类,上述代理人账号属于C系统。

记者购买到的另一个系统据卖家称“是国航B系统,可查国航、深航”,除了AVH、DETR指令之外,该系统还可以执行RT指令,该指令可以查询包括身份证、姓名、联系方式、常用旅客卡、同行旅客等在内的多种敏感信息。

而且,即使使用者不掌握任何旅客信息,仅仅通过航班号,就可以提取大部分旅客信息。记者以4月20、21日的数个国航航班测试,第一步通过RT指令调取该航班上姓名首字母相同的乘客列表信息以及相应的PNR编码(6位订座记录编码)。第二步,通过RT指令依次查询PNR编码,即可得到该PNR编码对应的旅客姓名、联系方式、身份证信息、团队同行人、常用旅客卡等信息。

经记者测试,在仅仅知道国航航班号、日期的情况下,记者均成功提取到多个授权人的相应信息,其中包括了未出行航班信息、国际航班信息。需要指出,其中有授权人在最近一周内接到过机票退改签诈骗,并且短信中个人信息均属实。

一位经常研究黑色产业的安全行业人士告诉记者:“在有这个系统、指令的情况下,可以写一个简单脚本,通过机器不停查询近期航班上的旅客信息,然后提取航班、行程目的地、姓名、身份证、旅客卡、联系方式,通过这些信息编辑诈骗短信发送。”

在复现整个信息泄露的过程中,记者发现,此类泄露方式的门槛极低,除了1300元的购买成本之外,仅需支付 “海量搜索eTerm出租信息、加对方QQ、等待通过、沟通、安装、学习指令”的时间成本,总计不足20小时。

精彩推荐
热点推荐
新闻中心