實測航旅縱橫隱私漏洞：實名用戶「裸奔」，卸載不等於註銷賬戶

6月11日晚間，民航服務軟體「航旅縱橫」被曝涉嫌泄露用戶個人信息，原因來自其最新上線的「選座社交」功能。

據悉，「航旅縱橫」是中國民航信息網路股份有限公司推出的一款基於出行的移動服務產品，旅客需要通過註冊和實名認證後，才可以通過APP查詢航班動態、航站樓、目的地天氣等信息，並完成選座、值機等一系列流程。用戶還可以在常客計劃中添加國航、東航、海航等國內多個主流航空公司，實時獲取個人近期行程的航班信息。

昨天，有網友向南都記者透露，打開航旅縱橫選座頁面時，點擊座點陣圖標即能查看選擇該座位的乘客個人主頁，乘客姓名、住址、甚至偏愛艙位、常用飛行目的地、飛行記錄等個人信息、隱私都分分鐘被「一覽無餘」。「我的姓名、頭像、身份等資料都是實名的，也就是說，在我並不知情時，自己的所有信息已經暴露在的陌生人面前。」該網友表示，「細思恐極」。

選座時可查看其他陌生旅客信息

對此，南都記者親身體驗了一把自己的信息是如何被陌生人查看的。

在航旅縱橫當前行程頁面，點擊「查看座位信息」：

然後可以進入如下頁面：

南都記者選擇的座位是36H，同時可以看到隔壁座位36K的一名乘客信息，包括其姓名、頭像和飛行熱力圖等等，甚至可以看到其簡介為「公務員」。

對於上述情況，航旅縱橫在回應南都記者質疑時表示，這是最近研發的一種基於社交的虛擬客艙功能，用戶可以從選座入口進入開啟一鍵群聊模式，甚至還可以進入旅客的個人頁面與其進行私聊，用戶展示的不是個人的真實身份信息，均為頭像、昵稱、標籤等可編輯的信息，賬戶的昵稱默認為「遊客」，並非真實姓名，同時用戶可根據自己的意願自行選擇開啟或者關閉，點擊頭像右上角即可進行設置。目前，該功能正在前期測試階段。

但根據南都記者實測中發現，如果用戶的姓名、頭像、身份等資料都是實名的，並且在沒有得到提示和通知的情況下進行編輯修改，那麼展示出來的信息也是實名的。

事先未通知提醒實名用戶「裸奔」

不僅如此，南都記者實測體驗後發現，想要編輯、更改自己的信息不顯示或讓不被陌生人看見，還需要費一番功夫。

首先，用戶需要進入APP主頁右下角的「個人中心」，從「遊客」進入個人主頁，並點擊右上角編輯符號進入編輯資料頁面。

可以看到最下面兩行 「允許他人查看我的個人主頁」和「允許他人與我進行私聊（圖1是還未編輯修改的狀態），然後將其關閉（圖2所示）。

然後，網頁會一直顯示提醒「您已進行隱私設置，他人無法向您發送私信。」

不過，值得注意的是，上述這兩個選項，在事先未得到用戶授權的情況下，均屬於默認打開狀態。這也是目前網友集中吐槽的地方。

也有網友建議，採取卸載APP的方式避免個人信息被查看。但南都記者了解到，卸載並不等於註銷賬號。事實上，用戶在最初註冊時，需要「姓名+身份證+支付寶賬號」的實名認證，才能通過中信航與民航系統連通，使用一系列航空服務功能。而註銷賬號，則需要通過「個人中心——賬戶信息——註銷賬號」完成。航旅縱橫方面對南都記者表示，用戶註銷賬號以後，其他旅客便不能通過「查看座位信息」查看到該註銷乘客的個人資料。

用戶最初註冊時已經「姓名+身份證+支付寶賬號」實名認證。

多家航空公司叫停第三方選座服務

據公開資料顯示，航旅縱橫所屬公司中航信作為中國民航的唯一數據服務公司，公司目前所擁有的數據用戶終端數約32000台，國內的服務網路已覆蓋各主要城市以及港澳地區，網路接入服務延伸到約300個城市，並通過SITA連接到全球50餘個城市，向中國大陸所有航空公司、120餘家機場和5000餘家旅行社、賓館等代理機構，提供實時數據傳輸和交換服務。

此前，已有航空公司注意到了風險。南都記者搜索發現，4月18日，南航就曾發布過關於規範網路選座、值機業務的通告，理由是「非正常方式擅自為南航旅客辦理選座、值機業務，嚴重擾亂了南航航班運行秩序，已經造成了一定的航空安全風險、信息安全風險和服務風險」，該通告同時提醒：非授權網路平台缺乏有效信息安全監管，可能非法截存旅客身份數據、賬號數據和行程數據等信息，並由此產生旅客個人隱私泄漏和會員賬戶被盜用的風險。

南都記者了解到，目前南航在航旅縱橫、飛常准等第三方值機軟體已無法值機。而國航、東航、海航等此前也發表類似聲明，稱正在清理未授權的第三方軟體進行值機、選座等服務。

工具類APP試水社交功能暗藏風險

工具類APP因涉足社交領域遭遇「尷尬」，這已不是第一次發生。此前，支付寶就曾在改版時先後推出「白領日記」、「校園日記」等「圈子」功能，因內容敏感，被指侵犯肖像、隱私權而下線。

某公交WIFI也曾經推出「同路人」，通過添加公交線路形成陌生人社交，形成的圈子評論區內卻充滿「水軍」的言論和微商廣告；而前不久空姐乘坐滴滴順風車遇害事件，進一步暴露出工具類軟體涉水社交背後暗藏的風險。

今年1月，騰訊社會研究中心聯合DCCI互聯網數據中心發布的《2017年度網路隱私安全及網路欺詐行為分析報告》, 該分析對1129款手機APP獲取手機用戶隱私許可權情況進行了統計，結果顯示，96.6%的Android應用能夠獲取用戶手機隱私權，在iOS應用中同樣高達69.3%，而25.3%的android應用存在越界獲取用戶手機隱私許可權的情況，包括獲取位置信息、讀取手機號、讀取簡訊、通話記錄、打開攝像頭、使用話筒錄音、打開WiFi開關、打開藍牙開關、獲取設備信息等，手機APP越界獲取用戶的個人信息，已經成為網路詐騙的主要源頭。而為了在短期時間內低成本打通數據壁壘，部分軟體更是在未得到用戶授權的情況下，將獲取的身份信息暴露在公共網路空間中，為信息泄露埋下隱患。

對此，DCCI互聯網研究院院長劉興亮對南都記者表示，工具類APP涉足社交領域無可厚非，但是至少在個人信息的公開處理上應該設置為默認關閉，給予用戶主動選擇公開與否的透明權利，才能在用戶的信息保護上更加合法合理。

事實上，自去年6月1日起實行的《中華人民共和國網路安全法》第四十一條就已經明確規定：網路運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意。此外，劉興亮提到，在工具類手機軟體不斷迭代的當下，獲取用戶信息的方式也正變得更為多樣化，用戶的信息保護意識仍然亟待加強。

采寫：南都記者 傅曉羚 馬寧寧

轉載自:南都

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！