App泄露航班信息 80元買到鹿晗航班行程
5月9日,最高人民法院通報了《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。這是兩高首次就打擊侵犯公民個人信息犯罪出台司法解釋。根據此次司法解釋,非法獲取、出售公民個人信息,情節嚴重者可獲刑。「近年來,侵犯公民個人信息犯罪仍處於高發態勢,而且與電信網路詐騙、敲詐勒索、綁架等犯罪呈合流態勢,社會危害更加嚴重。」最高法相關人士稱。
微信賣家在朋友圈叫賣國內藝人相關航班信息。
林琳的APP上突然多出的航班信息。
記者購買鹿晗航班信息
我們幾乎每個人,都曾被推銷電話、詐騙簡訊騷擾過。去年發生的「徐玉玉案」,即是個人信息遭侵犯導致的「惡果」。
在此節點,新京報推出關於「個人信息泄露」的系列調查報道。我們將通過對航空、徵信、銀行卡等領域的調查,以期找到個人信息泄露的源頭。
「不知道有多少人手中握著我的資料和信息。」一次偶然的「退票」風波,讓林琳(化名)發現自己的信息在網上暴露了。
更嚴重的是,外人能夠通過手機APP對林琳的飛機票進行退票、改簽等操作。
新京報記者調查發現,航空APP如今正成為乘客航班信息泄露的重要渠道,信息泄露的渠道包括了部分航空公司的官方APP、第三方航班APP以及航空公司的官網。
「只要知道明星的姓名和身份證號,能把他的預出行行程全部查到。」一位在網上販賣明星行程的商家稱。
新京報記者獲知,明星的航班報價按照飛行區域不同,每條價格在15-40元左右。記者在花費80元後,即獲得兩份鹿晗近期的航班信息。此外,記者還花45元獲得了兩份周杰倫近期的航班信息。
航空公司APP 飛倫敦航班被取消 誰動了我的機票?
直到現在,林琳都不知道究竟有多少人手中握有自己的個人信息。由於航空公司APP系統錯誤,林琳飛倫敦的機票被他人給取消了。
機票被他人通過APP取消
4月19日,林琳接到一家航空公司官方APP發來的信息,稱她於2月初所預訂的從北京飛往英國倫敦的機票,已經成功退票,所支付金額也將於近期內返還至其銀行賬戶當中。
「我根本就沒申請過退票!」林琳詫異之餘,隨即聯繫到該航空公司客服。儘管再三解釋,但客服一再稱,根據系統所顯示的情況,這一行為正是林琳於兩天前通過APP軟體操作所致。
「客服建議我回憶下近期的操作,看是不是不小心誤點了。」林琳說,「這不可能,就算再不小心,也不會出現誤點取消情況。」
後來,林琳打開該APP時發現,軟體「常用乘機人」頁面里,除自己信息外,還多出了三四個陌生人的資料。
疑惑之下,林琳看到,這些關聯人士年齡從20多歲到50多歲不等,身份證號碼顯示地址也分散在全國各地;同時這些關聯人資料中除了姓名聯繫方式外,還清楚地顯示著相應身份證號碼、開戶銀行和卡號。而在APP「全部行程」一欄中,也發現多了數十條不屬於自己乘坐航班線路的行程。
4月19日,新京報記者根據林琳發來的截圖,聯繫上幾位關聯人士。這些人士稱,他們對自己的信息出現在航空APP里,完全不知情。
「幾個月前下載註冊APP時,確實發現常用登機人裡面有幾個不認識的。但當時以為是系統自動推送的假信息,所以一直沒有理睬。」一位關聯人士說。
新京報記者說明來意後,另一位關聯女士周紅(化名)則說,是自己前幾天取消了林琳的航班。
「我當時完全不知道情況。」周紅稱,此前她因為出差,曾在這家航空公司的APP上購買了機票,在瀏覽航班是否訂票成功時,發現APP行程里有一班從北京飛往英國的航班提示。
從沒有訂過此航班的周紅,認為遇到了詐騙信息,隨即選擇取消。
這意味著,該APP上的幾位關聯人士之間,不但能彼此了解對方的各種身份信息,同時還能接收對方的飛行行程、訂票信息,更能取消他人的機票航班。
「太可怕了。」得知機票被取消原委後的林琳很是吃驚。經過與航空公司客服人員的數次交涉後,林琳獲得了補償措施:由她重新購買機票,再由航空公司補差價。
存在已久的系統漏洞
「這是航空APP系統臨時出現漏洞。」4月下旬,林琳聯繫到該APP的一位工作人員,該APP工作人員回復林琳稱,「系統出現錯誤,導致用戶賬戶出現串聯。」
對方作出「立即為她修改漏洞」承諾後的十多分鐘後,當林琳再次登錄APP時發現,上面的陌生關聯人已被清除,但仍有數條其他關聯人所使用的行程。
當林琳再度聯繫上該航空APP工作人員時,對方解釋為「正在處理」。半個多小時後,關聯人的所有信息才被徹底清除。
事實上,新京報記者發現,這款航空公司APP系統出現「客戶資料泄露」問題並非個例;早在數月前就有不少網友發帖稱,自己的APP上出現「不明陌生人」、「他人行程」等問題。
其中,一位網友就在帖子中說,「每次登錄都能刷出其他不同人的身份信息」,「那是不是我寫個腳本一直刷就能獲得一大批身份信息?」
「作為國內知名的航空公司,這家航空公司在APP這些細節問題上並沒有讓乘客感到完全安心。」一位航空行業資深專家說。
有數據顯示,2016年,該航空公司會員達到4297萬人。龐大的乘客數據,也意味著可能因為該款航空APP的系統「漏洞」,導致更多乘客的信息泄露。
5月9日,新京報記者聯繫上該航空APP的工作人員,試圖就這一信息泄露事件,以及系統軟體恢復情況進行諮詢。對方以「個人不能接受採訪」為由婉拒。隨後新京報記者發送採訪函給該航空公司相關部門,截至記者發稿,未獲對方回復。
航班管家 證件號能查明星航班
新京報記者調查發現,一些第三方航空軟體,也在航空信息方面存在漏洞。5月10日,記者在微博、微信和QQ群里,發現數個專營出售演藝明星航空信息的商家。
記者加上一位名為「追星小助手」的微信號,其微信資料寫著「專職銷售『明星航班』信息」。其朋友圈中,每天詳細更新著鹿晗、張藝興、迪麗熱巴等數十位當紅藝人最新的航班日程,以及起始地址。
「你想要誰的行程都可以。國內航班信息每條15元,港澳台以及國際航班信息30元一條。」「追星小助手」介紹說。
新京報記者在其朋友圈內看到,除了明星航班信息外,就連對方證件號、護照號都在以80元-500元不等的價格進行銷售。
記者隨即以「鹿晗粉絲」為名,希望得到其最新的行程。而對方解釋由於「鹿晗太火了」,所以要價也比普通藝人費用更高一些。
在支付了80元後,對方很快發來了鹿晗的航班行程:5月17日從北京首都機場乘坐海航HU79××航班飛往捷克布拉格,5月19日乘坐海航HU79××從捷克布拉格返回北京首都機場。
記者隨後在網上查詢發現,鹿晗所參加的綜藝節目《奔跑吧》最後一期錄製場地正是位於捷克。
當記者諮詢能否查詢普通乘客航班號時,「追星小助手」表示,「只要50元學費,能傳授方法」,並承諾學會後能查詢任何人的航班預出行信息。
經過不到20分鐘的「教學指導」後,新京報記者發現查詢方法,即是通過航班管家這些第三方航程APP的系統漏洞進行查詢。但必要前提是需要知道對方的相關證件信息。
記者註冊航班管家APP過程中,「追星小助手」特意一再叮囑「姓名、身份證都能隨便填,但手機號一定要留自己的,方便接收驗證碼。」
進入APP後,記者在「行程服務」中點擊「手機值機選座」選項,在「憑證號」以及「姓名」處輸入同事的身份證號碼和姓名後,開始選擇不同的航空公司進行「辦理值機」嘗試。
最終,記者在切換到一家航空公司後,順利找到同事10分鐘前所預訂的由北京飛往青島的航程信息。點擊進入後,同事姓名、航班起始地點、飛行日期、航班號以及座位號等相關信息均被詳細顯示出來。
「如此一來,你想查誰的登機情況都能輕鬆查到,到時候你還可以選擇他相鄰的座位。」「追星小助手」說。
資料顯示,航班管家由活力世紀科技(北京)有限公司製作,業務範圍包括酒店查詢及預訂、航班動態查詢以及手機值機等。
2017年1月,移動互聯網數據研究機構貴士移動報告稱,航班管家如今在線用戶數量達到424萬人,在同行中位列第一。2015年其交易額更是達到近200億元,穩居國內航空APP市場前三位置。
5月11日,新京報記者就信息泄露情況欲聯繫航班管家相關負責人,手機無人接聽,隨後發送簡訊,截至發稿未獲回復。
航空公司官網 「值機」系統可改他人座位
「不僅僅是第三方APP,就連很多航空公司官網都存在信息漏洞。」5月9日,一位兜售航班信息的商家介紹說,「很多航空官網上,都能查到陌生人航班信息。」
為了證明「所言非虛」,他向記者發來一份「查詢指南」。指南稱,不同航空公司,存在著不同的查詢方法;「指南」上還詳細地標明乘客在往返國內幾個大城市之間時,所最常用的航空公司選擇名單。
5月9日,新京報記者登錄一家航空公司官網。按照上述流程指導,在輸入同事姓名以及身份證號後,網站沒有任何身份真假驗證流程即轉跳到相應航班頁面。
該頁面清楚地顯示出記者同事所預訂航班的飛行時間、飛行地點,以及所選擇的座位等信息。新京報記者還發現,當點擊對方座位信息時,網站系統還提示可以進行「退座重選」的操作。
「其實很多航空公司官網都存在或多或少的漏洞。」5月10日,一位航空行業資深人士說,「通常航空公司只確定乘客姓名和身份證即可,但很少對手機進行綁定,所以很多信息正是從這一漏洞泄露出去。」
新京報記者登錄幾家知名航空公司的官網也發現,在辦理登機流程時,只需要輸入相應身份證和用戶姓名即可,並沒有通過註冊時所綁定的手機號進行簡訊驗證這一環節。
事實上,在多位「商家」傳授航班信息查詢方法時都特意叮囑,查詢者的姓名、身份證號碼可以隨便填寫,但「務必要用自己的手機號碼」。其原因正是「方便提示輸入手機驗證碼時,好用來接受簡訊」。
「很難想像這種大型航空公司會出現如此漏洞。」上述商家對新京報記者說,「一家航空公司會員有3000多萬人,這給了我們極大的利益空間。」
當記者向該商家諮詢每月以「查詢航班」的模式賺多少錢,他稱,「幾千到上萬元」,「很多做得好的,每個月動輒近十萬元」。
■ 延伸
航空信息泄露渠道多 乘客維權取證難
「第三方APP以及官網所造成的信息泄露,只是整個航空行業冰山一角。如今航空信息泄露源頭實在太多。」5月10日,一位多年從事航空管理工作的人士稱,「泄密涉及環節太多,根本不清楚究竟是哪一環出現問題。」
新京報記者在調查時發現,儘管信息泄露渠道繁多,但源頭指向了中航信Eterm系統。所謂Eterm系統,即為民航旅客訂座系統,其是中航信信息系統下屬系統之一。如今國內各大航空公司的訂票系統,基本都使用的是中國民航信息集團公司系統。而這款系統面向航空公司、機場、機票銷售代理等機構,主要提供航空客運業務、航空旅遊電子分銷等服務。
作為中航信系統核心之一,Eterm系統不僅可以查到航班的座位預訂情況,還能詳盡地查閱到每班航班上的訂位編碼,乘客的座位、艙位、姓名、證件號、電話號碼等諸多隱私信息信息。
此前曾有國內媒體報道稱,有許可權查看並有可能泄露信息的源頭,主要有機票代理商、航空公司工作人員、中航信工作人員,以及黑客這四大類人群。他們通過不同渠道和許可權,在Eterm系統上查到乘客詳細資料。
4月21日,《南方都市報》曾就Eterm系統報道稱,經銷商在中航信處購買Eterm系統後,中航信通常只會發出相應的單獨賬號,然而這一賬號可以通過軟體分出數個登錄小號。這套軟體任何人都可以下載,下載安裝之後,只要有登錄賬號就可以訪問中航信的資料庫。
5月10日,記者在相應QQ群、貼吧等網友集中的網站發現,數家出租出售Eterm系統的商家混雜其中。而系統租賃價格也按照查詢功能多少,從數百元到近萬元不等。
「你只要購買航司B系統,能查到相關信息。」得知記者意欲查閱行程信息時,一位商家熱情推薦到,「通過這個系統,你能查到包括身份證、姓名、聯繫方式、常用旅客卡等多個信息。」
由於從Eterm系統源頭到乘客,中間經歷了中航信、航空公司、票代、在線訂購網站、第三方航空APP等多個環節。每個環節都存在信息泄露的可能性,也導致乘客在維權時,因無法精準地找到泄露源頭,不得不面臨著「取證困難」的困局。
實際上,中國民用航空局曾於2017年2月就《民航網路信息安全管理劃定(暫行)(徵求意見稿)》公開徵求意見。
其中針對「退改簽詐騙」、「航空詐騙」等問題做出規定:民航各單位應當制定旅客信息保護軌制,對在提供服務過程中收集、使用的旅客信息,應當採取相應措施嚴格保護,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。而對於此前曾多次爆出信息泄露的第三方平台,更是強調稱,民航各單位將旅客信息轉移或委託給其他組織或機構使用的,應當簽訂旅客信息保護協議,明確旅客信息使用範圍和保護責任。
「規定具體能帶來怎樣的效果,現階段誰也說不清楚。」前述多年從事航空管理工作人士稱,「多個泄密渠道的存在,導致現在誰也不知道自己的信息被多少人掌握。」
※連續8個季度虧損 HTC手機殘局該如何下
※有線電視行業的生存環境越來越嚴峻 你還在使用嗎?
※[圖+視頻]天文學家用多個波段觀測蟹狀星雲
※任天堂FC卡帶被用來走私 裡邊藏的全是活蜘蛛
※銀行"高門檻"設阻 P2P平台資金存管上線不足一成
TAG:cnbeta |
※1499元就能買到全面屏+三攝,三星Galaxy A60元氣版發布
※驍龍821+MIUI10,550元買到小米5sPlus虧嗎?
※最強國產旗艦來了!3999元就能買到華為Mate 20
※3500元買到1080Ti?技嘉AORUS 1080Ti Xtreme Edition 上手
※日本最強中古店RECLO上線!5000元入手香奶奶,7000元買到愛馬仕
※勃朗寧X Bolt HS3經典步槍 17925元就能買到0.5MOA
※探秘歐洲武器黑市:500美元半小時就能買到AK-47步槍!
※1099買到4年前的旗艦機 小米Play又玩套路
※vivo Z1評測 1798元就能買到的「小X21」
※Polestar 1售價公布 145萬你能買到600匹馬力與1000牛米
※廉價版iPhone X配置曝光:國行5888元買到很超值?
※6核心12線程GTX1060顯卡,現在4199元能買到這樣的配置
※學生黨撿到寶,800元買到iOS9系統的國行iPhone6s
※AMD發布Radeon Pro WX8200:999美元買到全球最佳工作站圖形卡
※vivo Z1評測:1798元就能買到的「小X21」
※戴爾XPS 13 2-in-1 7390次月上市 是你首部能買到的10nm CPU機型
※800元買到:全金屬+驍龍芯+5300mAh+快充,值嗎?
※4月14日你就有機會買到 YEEZY 500
※2499就能買到的855旗艦 Redmi K20 Pro體驗
※360 AI 音箱 MAX 體驗:199 元能買到的最佳音質?