揭秘航空数据泄露源头 多渠道泄露屡禁不止
21世纪经济报道 | 2017-04-21 10:33:27

违规账号共享

需要指出,记者购买到的账号,并非中航信系统中的真实账号,而是来自于PID配置放大,将一个系统账号拆分成数十个子账号进行使用,每一个子账号享有与母账号相同的权限配置,而且子账号之间数据互通。

eTerm问世不久之后,行业内就研发了此类放大软件,一方面为代理人节省账号购买成本,另一方面也大幅降低了代理人行业门槛,这使得代理商、代理人的队伍迅速壮大。这种放大软件时至今日依然被广泛使用。

这种账号体系的放大使用,成为数据泄露的主要渠道。

一个代理人放大出票账号,意味着该母账号下所有的订票信息、旅客数据,获取此类账号同时也可以获取通过该代理实时下单的旅客信息。而航司B系统的放大账号,则意味着更多的数据、资料,如果能够同时拥有几大航司的B系统账号,相当于可以随时查询绝大多数的旅客出行信息。“部分与航空公司合作紧密的代理人拥有航司B系统账号,员工也可能把账号卖给信任的人”,一位航空公司人士告诉记者:“另一方面航空公司本身也有放大账号的需求,账号租赁费每年需要几千万。”

2016年4月,济南市历城区检察院审理了一起“提供侵入计算机信息系统工具罪”,三名航空公司员工对外出售了上千个带有RT指令的账号,部分账号每日提取数以千记的乘客信息,涉案人员均被刑事处罚。

2010年开始,中航信因为这种放大系统带来的劣币效应开始打击第三方配置平台,大量放大配置因此消失。但是,由于技术门槛较低,这种放大行为始终存在。

然而,记者致电中航信旗下子公司广州航旅天空,该公司官网客服则表示:“我们也是根据航信放大的系统,其他公司可能会被封,但我们的不会。”

记者电话咨询中航信,经过多次沟通辗转获得宣传部门电话,4月20日工作时间,记者8次拨打该电话均无人接听。2016年10月,央视焦点访谈曾曝光中航信信息泄露,当时,中航信曾回应称已经通过“清理外挂平台”、“限制代理人权限”、“推广账号双因素认证”、“账号行为管理”等多种举措保护旅客信息安全,并表示对违规行为坚决打击。

多渠道泄露屡禁不止

需要指出,在前述授权查询过程中,记者获取身份证、姓名等信息均为真实信息,但只有不到一半的联系方式为旅客真实电话,半数乘客的联系方式为机票代理人电话,个别无法提取联系方式。

“因为有很多代理人在提交订单时,并不向航空公司提交客户资料,担心被我们抢客户”,上述航空公司人士告诉记者:“虽然几大航司都有要求代理人提交真实信息,但他们不遵守,也不好去严格处罚。”部分客户资料掌握在OTA平台、代理商手中,同样存在泄露可能。事实上,由于用户信息管理的混乱,以及多个潜在泄露渠道,部分航班信息泄露甚至无法定位泄露源头。

2012年开始,国内机票退改签电信诈骗事件开始爆发,因为掌握了用户的真实信息、且当时用户对此类诈骗几乎没有防范心理,诈骗成功率极高。

此类诈骗在2015年前后进入高峰期,各大航空公司、OTA平台因此被不断投诉。

在此期间,OTA平台相继上线隐私保护政策。以阿里为例,阿里巴巴旗下阿里通信针对此类情形上线了“私密专线”,消费者购买机票时,机票代理人获取的是虚拟手机号,该手机号仅支持代理人、消费者之间联系,其他人获取该手机号则无法使用。

同时,2015年中航信对代理人系统做出指令修改。2015年之前,代理人系统通过DETR指令可以查询所有旅客的有效客票信息、对应证件号、预留联系方式、常用旅客卡等信息;2015年之后,该指令权限大幅下调,仅可查询在本账号出票的旅客信息。但由于账号放大存在,这种限制依然存在泄露风险。此外,上述航空公司人士告诉记者:“航司B系统没有限制过,所有航司的账号理论上都可以MLB、RT。”

2017年2月,中国民用航空局起草《民航网络信息安全管理规定(暂行)(征求意见稿)》,其中第四十六条指出,“旅客信息或重要生产数据泄露,造成重大影响或经济损失”时,民航行政管理机构应当启动网络信息安全事件调查。

此外,该文件第三十五条要求,民航各单位落实旅客信息保护制度,在“在发生或者可能发生旅客信息泄露时,应当立即采取补救措施”。不过,记者就上述购买到国航B系统事宜咨询国航,国航并未回应记者。 (原标题:揭秘航空数据泄露源头: 出票账号被违规放大共享) 

精彩推荐
热点推荐
新闻中心