原本是老话题的旅客航班信息泄露,前些天又因王宝强离婚风波中两个小插曲引发关注。 “需要明星航班、护照、证件号的私信,全部低价”,“宁泽涛、傅园慧70元”、“林心如、胡歌40元”“马蓉、宋哲免费”这类的广告和询价结果,轻易可以搜到。最低的孙杨张继科等明星的身份证号,5元即可买到。近年来从普通旅客莫名收到“航班取消”短信,到明星航班信息被公开售卖,个人隐私泄露事件屡被谴责,却仍持续频发。
极光调查发现,非法获取和倒卖个人隐私者至今仍有操作空间且成本低廉,花几百上千元从非规范渠道获取授权后,就可能得到高额暴利。民航业内专家表示,庞大信息系统的接口和使用人员众多,要彻底杜绝旅客个人信息被泄露,或许需从国家战略高度,新建航空运输信息系统构架。
因马蓉点赞 卖航班信息两博主被销号
近日刷屏的王宝强离婚风波,因为两个小插曲,又把一个老话题带到公众眼前。马蓉8月14日为曝光“王宝强航班8/5北京飞成都”行程的博主点赞,转眼 8月17日马蓉、宋哲两人此前的航信息也被人挖出。在口诛笔伐甚至高喊要前往机场“捉奸”之时,人们再次发现,过去数年间已发生过无数次的个人隐私信息泄露状况还是没什么改变。
未经许可获取和公开他人隐私信息,说到底是违法行为。微博认证为中国民航飞行员、波音737NG机长的@暮冥战机 也表示,“即便客户有涉嫌违法犯罪行为,身为公司员工应该为客户保守秘密,除非是有执法系统执法人员按照法律规定来调取有关信息,这是职业操守。这位员工的所作所为应该算是一种违法的方式。如果不遏制这样的行为,说不定哪天,有人会打着自以为正义的旗号,去侵犯他人合法的权益。”
果然,被“点赞”后不久,涉事的@小资源ddyy 和@航班证件小资源 均被销号,然而其他一些售卖明星航班、证件信息的卖家还在活跃做生意。“xxx某月某日上海飞北京、xxx某月某日北京飞上海……需要航班私信”之类的广告,极光随便一搜就有一堆,聊上几句,花个十几、几十元,他人信息分分钟轻松入手。
至今,社交网络上一些售卖明星航班、证件信息的卖家还在活跃地做生意。
买信息:宁泽涛70元 马蓉宋哲免费
求入行:先交5000元代理费
有的卖家添加极光微信好友后说,想要哪个明星的航班信息,只要报上名来即时可查,查不到近期的不要钱,查到了一手交钱一手告诉航班号和起降机场。有的卖家要求高一些,查航班信息得报上明星身份证号或者护照号,如果没有,也能先购他买证件信息。
普遍行情是单条航班信息30元左右,但根据明星名气大小不同价格不同,同一人的证件、手机和微信、QQ号码售价也有差异,你们感受一下:林心如、陈伟霆、胡歌航班40元,马蓉、宋哲航班信息不要钱,因为“反正是×男女”;宁泽涛身份证号70元、护照50元;李易峰身份证号60元、护照40元、手机号100元……还有卖家为表示“爽快”,上来就给了极光一张20多位明星8月初航班信息的汇总照片。杀价后,极光甚至还以5元的价格分别购买到孙杨及张继科的身份证号。
某卖家寥寥数语后便“爽快”提供一张20多位明星8月初航班信息的汇总照片。
之后更有卖家愿意亲自教授搜索航班信息的方法。交完40元学费,对方立刻发来教程:先下载某旅行APP,在机票航班选座功能相应位置输入明星的证件号,并随意填写一个手机号即可申请查询。极光检验发现,输入五位明星和马蓉、宋哲的身份证号后,仅一位不能查询,其他人均显示好多条近期航班信息,但如果换成普通旅客比如小伙伴们的证件号,就神奇地全部显示没有信息。
极光按照卖家教授的方法,输入孙杨证件号码后即查到他最近的航班信息。
极光按照卖家教授的方法,输入张继科证件号码后即查到他最近的航班信息。
一名卖家进而主动询问极光是否愿意做代理,“只要交代理费,5000元,我就会给你(所有明星证件号的)最低价,然后你就赚差价,我们已经有不少代理了,月入都稳赚3000”,8月19日上午,对方又主动发信息宣传店庆活动,“所有明星信息都有,证件号一律30元,手机号50元,QQ微信50 元”。
民航业内人士:至少有5种渠道能掌握旅客隐私信息
这些卖家为啥能挣钱?极光翻阅多篇公开报道发现:被卖出的明星航班信息通常准确率高达99%,部分卖家还能精确提供座位号,在明星粉丝中很受欢迎,薄利多销。而这些信息之所以“靠谱”,窍门是有内线。
比如成都全搜索新闻网报道,去年年初,一名在上海浦东机场VIP候机厅工作的南航员工就利用职务之便出售多位明星的航班及身份证、护照信息,被投诉后南航集团纪委介入调查。前述一名卖家也向极光坦言自己的特殊渠道在内部:“我原先在小航空公司,现在没待了,(明星的航班信息)我是直接进去内部查的,因为我有认识的航空部门老朋友”。
然而实际上,比起明星,普通旅客个人隐私信息被泄露的情况多太多。近几年来,前脚刚买机票,后脚就收到“航班取消,请与本公司联系办理退票或改签”短信的人数不胜数,没注意辨别,联系对方付钱最终发现上当受骗的案例也常被报道。每次事发后,航空公司和订票网站都强调保护乘客信息的技术措施非常严格,但类似情况仍在不断出现,和吃瓜群众一样,极光也想搞清楚,这些信息到底从哪些渠道流出的。
首先来看都有谁能接触到旅客个人信息。
一名民航管理系统的职员告诉极光,掌握包含乘客姓名、手机号、身份证号和机票号、航班号、航班时间在内信息的单位,至少有三类:一是提供机票的各家航空公司,二是提供航空意外险和延误险的保险公司,三是民航管理部门。另两位民航业内资深人士又补充两种,即大大小小的票务代理机构和平台,以及为除春秋航空外的国内所有航空公司、机场和机票销售代理提供信息管理系统的中国民航信息网络股份有限公司(下简称“中航信”)。
极光注意到,如今除指责航空公司、订票网站泄露信息之外,一些质疑目光逐渐开始转向中航信,因为这家前身是中国民航局计算机信息管理中心的央企,管理着中国民航所有的客货运数据、航班库存数据和离港控制系统。不得不提,马蓉、宋哲两人航班信息被曝光时,和保单照片一起热传的还有一张据称是内部 “黑屏系统”的照片,而这个“黑屏系统”,就和信息泄露事件紧密相关。
马蓉、宋哲航班信息被曝光时,一张据称是民航内部“黑屏系统”的照片热传。
庞大系统使用者众多 难查哪个环节泄露信息
“黑屏系统”的正式名字叫做民航旅客订座系统(ETERM系统),其中包含代理人分销系统(CRS系统,简称C系统)、航班控制系统(ICS系统,简称B系统),简单来说,除春秋航空之外,国航、南航、东航、海航等等大陆商营航空公司和澳门航空公司,以及各机票代理人,所有的航班、座位、舱位、价格、乘客身份情况等信息数据都在这个系统里。黑色背景,绿色和黄色字体显示的页面上,只要输入相应查询指令,结果就会“嗖嗖”显示。
而ETERM系统只是中航信庞大信息系统中的一部分。构成中航信整个信息系统的还有核心网络、电子客票系统、离港控制系统等。
中航信提供的官方数据称,这套支撑民航信息化发展的订座、离港、分销、结算四大商务信息系统,目前以将服务延伸至300多个国内城市、100多个国际机场,30多家国内航空公司、300多家外国及地区航空公司、200余家国内机场和7000多家机票销售代理。
一不愿具名的民航业内资深人士告诉极光,旅客日常看到的航班信息只是非常少的一部分,中航信的系统里“整个民航信息都在”,而且接口众多、使用人数众多。各航空公司、各代理人、以及民航管理部门和中航信内部工作人员,能在系统内进行操作的权限不同,通常只能接触到自己所属权责内的信息,不过部分岗位可以接触到更大范围的信息。另一方面,每一次规范操作均会被系统记录,但如果使用外挂等违规软件或采取黑客手段入侵系统,就不一定能留下痕迹。这也是旅客信息泄露后难以追溯的原因之一。
在南京市中级人民法院对一起旅客诉南航泄露信息案的判决中,极光也看到如下表述:“南航答辩称非常注重官网信息安全工作,除了请知名服务商提供服务外,利用国际最先进的信息安全软件,定期进行安全检查,对互联网信息安全预警进行及时响应处理,已尽到信息安全的维护义务。从上诉人用自己的移动终端订票开始,至最终订票信息进入中航信订票系统中,每个环节都有泄露的可能性,移动终端也可能被病毒控制。向南京市公安局网警支队进行调查,网警支队认为,案涉订票信息泄露的途径很多,并不能得出该订票信息就是航空公司泄露,航空公司有可能泄露,但并非唯一途径,手机、去哪儿网、航空公司、中航信都有可能泄露订票信息。”
交流中,一名航班信息卖家还曾“好意劝说”极光,“不要乱来,这个行业太多人了,(曝光内幕)会砸了他们的饭碗。”
中航信曾清理“黑票代” 民航公安曾专项打击
看到这,一定有人要问,相关部门采取啥预防和惩罚措施没?这个真的有。极光查到,2009年,中航信曾在全国范围内清理过大批违规外挂机票销售平台,2015年9月后,代理人层级也被限制只能查询自己的销售业务。2014年,中国民航局公安局还开展“打击防范非法侵入民航信息系统犯罪”专项行动,期间山东省机场公安局侦破一起涉案金额数百元的“民航乘机信息泄露”特大案件。
据通报,2013年10月山东省机场公安局接到山东航空公司报案,多名旅客购买山航机票后收到“退票或者改签”的短信提示,按短信提示操作后被诈骗数百万元。侦查中,公安机关发现国航、东航、南航等均存在相同情况,系全国性多地多发案件,此后历时一年半,辗转多地抓获犯罪嫌疑人22名。
判决书显示,根据中航信与山航等航空公司签订的服务协议,中航信系统内的信息数据的所有权、管理市场归各航空公司。B系统账号也应向中航信及其内部申报单位提出申请,经批准后才允许使用。而这22人中,包括中航信职员、航空公司和票务代理机构职员,他们的配合手法是,先由掌握B系统账号的人对相关账号在内部网络服务器上进行配置,然后提供给其他人,使没有经过授权的人也可以访问查询B系统的相关数据信息,泄露出去的账号信息被诈骗团伙获取后对购票乘客实施诈骗。最终,本案被告人分别因犯“提供侵入计算机信息系统的工具罪”和“非法获取公民个人信息罪”被判刑并处罚金。
贩卖他人未公开的航班信息,不管是明星还是普通旅客,都涉嫌非法获取和非法提供公民个人信息。按照我国刑法规定,向他人出售或者提供公民个人信息,根据情节不同,最高可处七年以下有期徒刑并处罚金,窃取或以其他方法非法获取公民个人信息,也受同样处罚。如果是相关从业人员在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人,还将从重处罚。
ETERM系统公开出租 最低300元每月即可接入
极光也算了一下经济账,原来不法人员想做获取和出售他人航班信息的买卖,成本和门槛并不高。
2014年上海某旅行社与某航空公司一起合同纠纷案的判决书中写道,与原被告双反都有买卖关系的第三人,每月只需支付600元管理费,你没看错,真的只要600元,旅行社就可提供一套中航信机票查询系统供其使用,输入账号密码登录之后便能查询航班、订座、输入相关旅客信息。
通过简单搜索,即可找到大量ETERM系统公开出租的广告。
通过简单搜索,即可找到大量ETERM系统公开出租的广告。
要想直接自己搞个B系统来用,也是一搜就出来大批出租广告。“价格适中,速度快,不读秒”、“稳定性好,指令完全和航信同步”、“24小时全天候技术服务”、“了解航班座位数就像了解你的仓库一样”,满眼这种诱人文案。还有搭配出售PID放大软件的,据称作用是将eterm终端进行高达1:20 的使用率提高,“这意味着,以前只能一个电脑单独使用的eterm终端,通过软件优化处理,可以实现多台电脑共同使用,互不影响,如果您申请20个 eterm帐号,有每月庞大的费用支出,我们为您节省大笔费用”。从一些公开报价来看,B系统租金大约在每月300-1000元区间,放大软件售价约1000元。
公开报价显示,B系统租金大约在每月300-1000元区间,放大软件售价约1000元。
极光获得的一组报价是,黑屏按流量即查询预订的次数计租金,3万次每月400元,4万次每月500元,最低半年起租,如果是国内业务,需再付押金5000元,国际业务则需1万元。当极光表示自己并无机票代理资质担忧租用系统有法律风险时,对方宽慰称不会被查。
而据《21世纪经济报道》报道,2014年底时,能卖包含乘客姓名、手机号、身份证号和机票号、航班号、航班时间在内信息数据的卖家报价称,一般需批量购买,具体价格为未起飞数据达到200条18元/条,达到500条15元/条。
中航信回应质疑:我们被攻击过 但系统能保持安全
对于前述信息安全或存漏洞的质疑,中航信未就近期案例进行回应,但高层此前有过一些公开表态。
极光了解到,中航信多名高层均介绍,公司将安全视为公司的立司之本和社会责任,中国航信所运营的信息系统也被列为国务院监管的八大重点系统之一,纳入国家信息安全管理体系。
2015年初,总经理肖殷洪还提到,目前尤其在国内外信息安全环境日趋复杂和的背景下,中航信也遭遇过攻击系统和撞库事件,“我们受到的撞库频率和强度不亚于铁路系统,很高兴,目前为止还没被撞开”,他表示,“这对我们维护民航信息安全、保护旅客信息安全提出了更高的信息安全要求。国家赋予重托,安全重于泰山,请大家放心,航信一定能保持持续安全。”
此外,中航信也建立了验真客票和行程权威渠道。据官方介绍,手机APP“航旅纵横”和信天游网站(www.travelsky.com)上的“行程验真”功能,均可实时查到所乘航班、本人客票的真实状态,且避免了航空公司客服席位占线时的长时间等待。
然而在一名接近中航信的知情人士看来,“只要有利可图,就总会有人想歪点子”,该人士无奈地告诉极光,中航信一直非常重视信息安全,“但外部一些事是中航信没法控制的,比如有资质的代理层层转包给别人等等,环节太多,中航信管不到每一个末端。”
《法治周末》也曾在报道称,在我国销售机票首先必须取得中国航空运输协会颁发的资格证书,而后才能接入中航信系统。但一些未获资质的机票代理商,会利用外挂平台违规接入中航信系统,让客户信息的安全面临较大风险。
前述匿名民航业内资深人士进一步介绍,中航信30多年前建立的这套系统在当时非常先进,但在她看来,随着信息进化,一些原有功能逐渐不足以支撑和满足当下信息需求,“打个比方,一百年前最好的老房子,你就算每三年都修缮也总有弄不好的,跟一百年后新盖的房子不一样。架子老了,系统已经严重跑冒滴漏,中间哪些环节有问题,不见得中航信自己能查出来。”
而只要存在一个泄露数据的可能性,不法人员就能不断获取信息,旅客信息安全仍难保障。该人士说,“筛查也做了,但有些口你不敢碰,不知道它后面连着啥,剪错一根线可能就是大事,所以只能很有限地动,要彻底杜绝旅客信息泄露,还得按与时俱进的东西设计,把可能的安全漏洞全都考虑进去新建一个系统,而这需要从国家战略高度着手,多部门协作,一起来新建新型航空运输信息系统构架。”