我们几乎每个人都受到销售电话和欺诈短信的骚扰。去年发生的徐玉玉案是侵犯个人信息的后果。个人信息泄露的来源是什么?
全文4741字,阅读7分钟左右
(更多新闻,请关注新京报微信公众号:bjnews_xjb)
▲记者购买鹿晗航班信息。
我不知道有多少人手里拿着我的信息和信息。一场偶然的退票风暴让林琳(化名)发现自己的信息在网上曝光。
更重要的是,外人可以通过手机APP退票、换票等操作。
新京报(ID:bjnews_xjb)记者调查发现,航空APP如今,它正成为乘客航班信息泄露的重要渠道,包括一些航空公司的官方渠道APP、第三方航班APP还有航空公司官网。
一位在网上卖明星行程的商家说:只要你知道明星的名字和身份证号码,你就能找到他所有的预出行程。
新京报记者获知,明星的航班报价按照飞行区域不同,每条价格在15-40元左右。记者在花费80元后,即获得两份鹿晗近期的航班信息。此外,记者还花45元获得了两份周杰伦近期的航班信息。
直到现在,林琳都不知道有多少人手里拿着自己的个人信息。因为航空公司APP林琳飞往伦敦的机票因系统错误而被取消。
━━━━━
机票被别人通过APP取消
4月19日,林琳收到了一家航空公司的官员APP该消息称,她2月初预订的从北京到伦敦的机票已成功退还,并将在不久的将来返还给她的银行账户。
我根本没有申请退款!林林很惊讶,立即联系了航空公司的客户服务部门。虽然反复解释,但客户服务部门一再表示,根据系统显示的情况,这种行为是林林两天前通过的APP软件操作。
客服建议我回忆一下最近的操作,看看是不是不小心误点了。林琳说:这是不可能的。即使不小心,也不会取消误点。
后来,林琳打开了APP在软件常用乘机人页面中,除了自己的信息外,还有三四个陌生人的信息。
▲林琳的APP突然出现的航班信息。
令人困惑的是,林林看到,这些相关人员的年龄从20岁到50岁不等,身份证号码显示地址也分散在全国各地;同时,除了姓名联系信息外,相应的身份证号码、地显示了相应的身份证号码、开户银行和卡号。APP在全程一栏中,还发现了几十条不属于自己航班线的行程。
4月19日,新京报记者根据林琳发来的截图联系了几位相关人士。这些人说,他们的信息出现在航空公司APP里,完全不知道。
几个月前下载注册APP当时确实发现有几个常用的登机人不知道。但当时我以为是系统自动推送的假信息,所以一直没有理会。一位相关人士说。
新京报记者解释意图后,另一位关联女士周红(化名)表示,她前几天取消了林琳的航班。
我当时根本不知道情况。周红说,她以前在这家航空公司出差过。APP买了机票,浏览航班订票成功时发现APP从北京到英国的航班提示。
从未预订过这次航班的周红认为自己遇到了诈骗信息,立即选择取消。
这意味着,该APP几位相关人士不仅可以了解对方的各种身份信息,还可以接收对方的飞行行程和订票信息,取消他人的机票航班。
太可怕了。林林得知机票被取消后非常惊讶。经过与航空公司客户服务人员的几次谈判,林林获得了补偿措施:她再次购买机票,然后由航空公司弥补差价。
━━━━━
长期存在系统漏洞
“这是航空APP四月下旬,林琳联系了这个系统。APP工作人员,该APP工作人员回复林琳说:系统错误导致用户账户串联。
对方作出“立即为她修改漏洞”承诺后的十多分钟后,当林琳再次登录APP发现上述陌生关联人已被清除,但仍有几次其他关联人使用的行程。
当林琳再次联系航空时APP工作人员时,对方解释为正在处理。半小时后,关联方的所有信息都被完全清除。
事实上,新京报(ID:bjnews_xjb)记者发现,这家航空公司APP客户的客户数据泄露问题并非个案;早在几个月前,许多网民就发布了自己的帖子APP有陌生人不明、别人行程等问题。
其中,一位网友在帖子中说:每次登录都可以刷出其他不同人的身份信息。我写脚本的时候能不能得到很多身份信息?
这家航空公司是中国著名的航空公司APP一位航空行业资深专家说,这些细节并没有让乘客感到完全安心。
▲其他登机信息可以在航空公司官网上找到。
数据显示,2016年,航空公司成员达到4297万人。巨大的乘客数据也意味着可能是因为航空公司APP系统的漏洞导致更多乘客的信息泄露。
5月9日,新京报记者联系航空公司APP工作人员试图咨询信息泄露事件和系统软件恢复情况。对方以个人不能接受采访为由拒绝了。随后,《北京新闻》记者向航空公司相关部门发出了一封采访信,截至新闻发布时,没有得到对方的回复。
━━━━━
证号可查明星航班
新京报(ID:bjnews_xjb)记者调查发现,一些第三方航空软件,也在航空信息方面存在漏洞。5月10日,记者在微博、微信和QQ在小组中,发现几家商家专门销售演艺明星航空信息。
记者添加了一个名为偶像化助手的微信ID,其微信信息上写着全职销售‘明星航班’信息。在他的朋友圈里,鹿晗、张艺兴、迪丽热巴等几十位当红艺人的最新航班日程和起始地址每天都在详细更新。
你可以去任何你想要的人。国内航班信息15元,港澳台和国际航班信息30元。偶像化助手说。
新京报记者在朋友圈看到,除了明星航班信息,连对方的证号和护照号都在以80-500元的价格出售。
记者立即以鹿晗粉丝的名义,希望得到他最新的行程。对方解释说,因为鹿晗太火了,要价比普通艺人高。
付了80元后,对方很快就了鹿晗的航班行程,记者发现鹿晗最近要去这里录制综艺节目。
当记者询问是否可以查询普通乘客的航班号码时,偶像化助手说,只要学费50元,就可以教方法,并承诺在学习后查询任何人的航班预览信息。
经过不到20分钟的教学指导,新京报记者发现查询方法是通过航班管家等第三方航程APP查询系统漏洞。但必要的前提是了解对方的相关文件。
记者注册航班管家APP在这个过程中,偶像化助手一再告诉姓名、身份证可以随意填写,但手机号码必须留下自己的,以方便接收验证码。
进入APP之后,记者点击行程服务中的手机值机座位选择选项,在凭证号码和姓名中输入同事的身份证号码和姓名,开始选择不同的航空公司进行值机尝试。
最后,在切换到一家航空公司后,记者成功地找到了他的同事在10分钟前预订的从北京到青岛的航程信息。点击后,详细显示同事姓名、航班起点、飞行日期、航班号、座位号等相关信息。
这样,你就可以很容易地找到任何想检查登机情况的人,然后你也可以选择他相邻的座位。追星助手说。
数据显示,航班管家由活力世纪科技(北京)有限公司制作,业务范围包括酒店查询预订、航班动态查询、手机值机等。
2017年1月,移动互联网数据研究机构贵士移动报告称,航班管家现在拥有424万在线用户,在同行中排名第一。2015年,其交易额达到近200亿元,稳居国内航空APP市场前三。
5月11日,新京报记者就信息泄露情况欲联系航班管家相关负责人,手机无人接听,随后发送短信,截至发稿未获回复。
━━━━━
航空公司官网 值机系统可以改变他人座位
不仅仅是第三方APP,就连许多航空公司的官方网站也存在信息漏洞。5月9日,一位销售航班信息的商家说:陌生人的航班信息可以在许多航空官方网站上找到。
为了证明他所说的是真的,他给记者发了一份查询指南。该指南称,不同的航空公司有不同的查询方法;该指南还详细说明了乘客在中国几个大城市之间往返时最常用的航空公司名单。
5月9日,《北京新闻》记者登录了一家航空公司的官方网站。根据上述流程指导,在输入同事姓名和身份证号码后,该网站将跳转到相应的航班页面,无需任何身份验证流程。
页面清楚地显示了记者同事预订的飞行时间、地点和所选座位。《北京新闻》记者还发现,当点击对方的座位信息时,网站系统还提示可以进行退座和重选操作。
事实上,许多航空公司的官方网站或多或少都有漏洞。5月10日,一位航空业高级官员说:通常航空公司只确定乘客的姓名和身份证,但很少绑定手机,所以很多信息都从这个漏洞中泄露出来。
新京报(ID:bjnews_xjb)记者登录了几家知名航空公司的官方网站,也发现在登机过程中,只需输入相应的身份证和用户姓名,并没有通过注册时绑定的手机号码进行短信验证。
事实上,当许多企业教授航班信息查询方法时,他们特别告诉查询人的姓名和身份证号码可以随意填写,但一定要使用自己的手机号码。原因是方便地提示在输入手机验证码时接收短信。
很难想象这么大的航空公司会有这样的漏洞。一家航空公司有3000多万会员,这给了我们很大的利益空间。
当记者问商家每个月以查询航班的方式赚多少钱时,他说几千到几万元,很多做得好的,每个月近十万元。
━━━━━
有许多信息泄露渠道 乘客维权取证难
“第三方APP官方网站造成的信息泄露只是整个航空业的冰山一角。现在有太多的航空信息泄露来源。5月10日,一位从事航空管理多年的人士表示,泄露涉及的环节太多,不清楚哪个环节有问题。
新京报记者在调查中发现,虽然信息泄露渠道很多,但源头指向中航Eterm系统。所谓Eterm该系统是民航旅客预订系统,是中航信息系统的下属系统之一。目前国内各大航空公司的订票系统基本都是中国民航信息集团公司系统。该系统主要为航空公司、机场、机票销售代理等机构提供航空客运业务、航空旅游电子分销等服务。
作为中航系统的核心之一,Eterm系统不仅可以查看航班的座位预订情况,还可以详细查看每次航班的座位预订编码、乘客座位、舱位、姓名、身份证号码、电话号码等隐私信息。
此前,国内媒体报道称,有权检查和泄露信息的来源,主要包括机票代理商、航空公司员工、中国航空公司员工和黑客。他们通过不同的渠道和权限Eterm在系统上找到乘客的详细信息。
4月21日,《南方都市报》曾就Eterm该系统报告称,经销商在中国航空公司购买Eterm系统结束后,中航通常只发送相应的单独账号,但该账号可以通过软件分为几个登录小号。任何人都可以下载该软件。下载安装后,只要有登录账号,就可以访问中航数据库。
5月10日,记者对应QQ群、贴吧等网友集中的网站发现,几家公司出租出售Eterm系统业务混杂其中。而且系统租赁价格也根据查询功能,从几百元到近万元不等。
只要你购买了航空公司的B系统,你就可以找到相关的信息。当你得知记者想要查旅行信息时,一位商家热情地推荐,通过这个系统,你可以找到许多信息,包括身份证、姓名、联系信息、常用乘客卡等。
由于从Eterm系统源头到乘客,中间经历了中航信、航空公司、票代、在线订购网站、第三方航空APP等待多个链接。每个链接都有信息泄露的可能性,这也导致乘客在保护自己的权利时面临取证困难的困境,因为他们无法准确找到泄露的来源。
事实上,2017年2月,中国民航局就民航网络信息安全管理划分(暂行)(征求意见稿)征求公众意见。
其中,对于退款欺诈、航空欺诈等问题:民航单位应制定乘客信息保护轨道系统,在服务收集过程中,应采取相应措施严格保护乘客信息,不得泄露、篡改或损坏,不得出售或非法提供给他人。对于之前多次披露信息泄露的第三方平台,强调民航单位将旅客信息转移或委托给其他组织或机构的,应当签订旅客信息保护协议,明确旅客信息的使用范围和保护责任。
现阶段没有人知道具体的效果。上述从事航空管理多年的人士表示,多个泄密渠道的存在导致没有人知道有多少人掌握了他们的信息。
新京报记者 覃澈
(更多新闻,请关注新京报微信公众号:bjnews_xjb)