包括东方航空、厦门航空、上海航空等在内的航空公司被全国最大的互联网漏洞报告平台乌云网披露存在旅客机票信息泄露漏洞,这些被泄露的旅客信息以最高每条25元被出售,然后通过取消航班办理退改签手续的途径骗取乘客银行账户信息和钱财。
图片来源:东方IC
包括东方航空、厦门航空、上海航空等在内的航空公司被全国最大的互联网漏洞报告平台乌云网披露存在旅客机票信息泄露漏洞,1月29日1天就有5条航空公司相关漏洞被确认。
界面新闻记者发现,东方航空在1月26日到31日连续6天被乌云网指出信息系统存在漏洞。其中较为严重的两起是关于东方航空在预付费卡系统、B2C系统方面所存在的问题。
1月29日,工程师“路人甲”公布了东方航空预付费卡系统的漏洞,称涉及12万余名客户的信息及预付费卡账号,客户信息包含姓名、身份证号码、手机号等。他也同时公布了东方航空B2C系统方面存在漏洞,并描述道“数千万机票信息任意看,可查任意乘客信息”。漏洞类型均为账户体系控制不严,危害等级均为高。
平台显示,东航在了解关于系统漏洞的相关细节后均进行了确认,并将危害等级评定为中级。东航相关负责人对界面新闻表示,东航的信息系统本身是安全可靠的,乌云网的工程师是以暴力攻击的方式进入了系统。公司有专门的团队在做系统安全方面的工作,会进一步强化安全措施。
对此,乌云网在1月31日披露的“东航公司邮箱系统大量弱口令泄漏内部敏感信息”漏洞中借机回应称,所谓的“暴力”事实是其6位密码及无限制的密码试错的设计缺陷,以及大量弱口令造成的。
早在去年12月2日时,乌云网就曾披露过东航大量用户订单信息泄露的问题。东航方面确认之后发现,存在漏洞的系统实则为B2B电子客票交易平台——今日天下通所有。东航内部人士向界面新闻表示,那次并非是东航的系统泄露用户信息,今日天下通是一个独立的公司。
2015年1月中旬,出于对旅客权益和公司形象的考量,东航对今日天下通进行了停止投放东航机票7天的处罚。今日天下通团队1月30日在官网上表示,平台已经完成升级维护,出于账户安全的考虑,提高了登陆密码的安全级别。
除了东航,厦门航空、上海航空、值机软件航旅纵横近期也被乌云网点名存在信息漏洞。厦门航空对乌云网指出的“B2B管理系统沦陷”回应称,该系统为旧的B2B系统,已停用多时。近期由于内部原因重新打开测试,里面并未存放旅客信息,近期就将关闭。公司已经两年时间不用该系统,并无旅客信息存放。
这些被泄露的旅客信息价格不菲。在QQ群搜索栏输入“机票数据”,便可发现大量机票数据贩卖群。界面新闻记者以买家身份与其中的一个数据贩卖商交流得知,机票数据100条起卖,所提供信息包括旅客姓名、电话、身份证号、航班号、起飞时间等,“100条1300元、200条2000元、500条4000元”。买卖通过银行卡、支付宝等方式转账下单,他每天大概能卖500多条。记者联系另一卖家,则要价25元一条。
不法之徒一旦买入这些数据,就会针对旅客,上演“航班取消”类骗局。
IT与知识产权律师赵占领对界面新闻记者介绍称,骗子一般会在飞机起飞前一两天,以航空公司的名义向旅客发送短信称,因机器故障或天气原因航班取消。旅客需通过400开头的客服电话,办理退改签手续,同时会有一定数额的补偿。随后骗子会要求旅客提供银行账户信息,一旦得逞就能通过各种技术手段成功骗取旅客钱财。
“因为骗子准确知道消费者的姓名、航班、起飞时间等机票信息,所以消费者很容易相信他,然后上当受骗。”赵占领律师认为在归责方面,首先要弄清信息泄露的渠道。
一方面可能由于航空公司或者其它订票网站系统设置存在漏洞,导致黑客侵入。这种情况下,黑客犯有非法入侵计算机系统罪,涉嫌刑事犯罪。如果漏洞很明显,航空公司或者订票网站没有尽到安全保障的义务,也应当承担民事赔偿责任;另一方面可能是航空公司、机票代理商、机票网站等掌握乘客信息的机构内部人员,通过非法提供旅客信息的方式来牟利。央视采访透露,航空公司的员工靠卖数据,每月就能多挣约3000元的灰色收入。这在受公司内部劳动合同处罚的同时,也构成刑事犯罪。
旅游类手机应用航班管家公关部负责人对界面新闻表示,航班管家也注意到了这种骗局频发,并针对性地在2014年11月份推出了航班管家“机票短信检察官”功能。其手机App能够根据短信内容识别信息真伪,将航班的真实状态和航空公司的官方客服电话提供给用户。
旅客机票信息泄露的情况在国外也时有发生,2014年9月24日,日本航空公司(Japan Airlines Corporation)发消息称由于公司电脑遭恶意软件攻击,导致旅客信息泄露。10月29日,日本航空公司发布中期调查结果显示,4131名旅客信息已确认泄露,泄露信息包括会员号、姓名、出生日期、性别、联系方式及其工作地等。公司对受害者进行了相关补偿,并组建“独立董事检证委员会”来开展后期调查防范工作。
乌云网上线于2010年5月,是一个计算机厂商和安全研究者之间的安全问题反馈及发布平台。用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏报。