|
转自:计算机与网络安全(ID:Computer-network) 你有没有收到过“航班因故取消”的短信▼ 近几年,“机票退改签”诈骗事件时有发生。由于短信中旅客的信息准确而完整,上当之人络绎不绝。 同时,许多明星的航班信息在微博、贴吧等地公然叫卖,连证件、护照及手机号码也可打包出售,气焰嚣张。  到底是谁这么神通广大,竟能掌握所有旅客的航班信息? 中航信系统被公开出租 前段时间,有人堂而皇之地将明星邓超的历史航班行程发在朋友圈,公开出租“追星系统”,宣称可以查询航班信息、追踪明星行程。  联系出租者得知,所谓的“追星系统”原来是中航信的民航旅客订座系统(eTerm)。 该系统是航班及机票预定、查询、管理系统,航空公司、机票代理商、机场都在使用。无论在哪个订票网站或航空公司购票,旅客的个人信息都会被提供给这个系统。 出租者表示,系统配备了齐全的指令,可以提取多种航班信息。比如以个人身份证件信息可以查询其名下的全部航班行程,航司专用指令可以一次提取整个航班上的所有旅客信息。  用“eTerm出租”等关键字进行搜索,在QQ群、贴吧、淘宝发现了大量的出租信息。 一淘宝店主表示租赁系统账号5000元/月,查询上限1万次;一微博商户表明,500元可购买5万个流量,包括旅客全套信息和出行记录。还有商户以7元/条的价格出售实时航班数据。  这些,都成为机票信息泄露的源头。 数据泄露门槛极低 eTerm系统俗称“黑屏系统”,分为机场A系统、航司B系统、代理人C系统三类。 网上购买一个代理人C系统账号大约600-700元,花1小时就能掌握常用的指令,可以查询到票价、预定时间、姓名、身份证等数据。 代理人C系统覆盖率达60%,通过航空公司订票的数据没有被共享。若是购买航司B系统账号,即使不掌握任何旅客信息,仅仅通过航班号,也可以提取大部分旅客信息。  据业内人士透露,在获取到账号、服务器地址、指令的情况下,编写一个简单的脚本,让机器不停查询近期航班上的旅客信息,然后提取航班、行程、姓名、身份证、联系方式等,再作编辑,就可以发送诈骗短信了。  复盘整个泄露过程,小盟发现此方式门槛极低,购买成本只需几百元,沟通、安装、学习指令等时间成本也几个小时就足够了。 换句话说,别有用心的话,谁都可以获取到旅客航班信息。  真实账号被违规放大 这么强大的系统,账号不应该被全面保护监控吗?然而,网络中售卖的账号,其实并不是系统的真实账号。  eTerm系统问世后,业内开发了放大软件,可以将一个系统账号拆分成N个子账号,权限相同,数据互通。 本意是为代理商节省账号成本,但这种放大软件让代理门槛被降低,泛滥共享、出租、售卖造成了数据泄露。  去年10月,央视曾曝光此漏洞,中航信也采取了诸多举措保护旅客的信息安全。但由于技术门槛较低,这种方法行为并未完全杜绝。 多泄露渠道难溯源 除了eTerm系统,航空公司、各级代理商、第三方订票平台等等都能掌握旅客信息。事实上,由于用户信息管理者众多,很多航班信息泄露甚至无法定位泄露源头,这让维权变得十分艰难。 |
|
|
