APP泄露航班信息 80元买到明星航班行程

　　航空公司官网 “值机”系统可改他人座位

　　“不仅仅是第三方APP，就连很多航空公司官网都存在信息漏洞。”5月9日，一位兜售航班信息的商家介绍说，“很多航空官网上，都能查到陌生人航班信息。”

　　为了证明“所言非虚”，他向记者发来一份“查询指南”。指南称，不同航空公司，存在着不同的查询方法；“指南”上还详细地标明乘客在往返国内几个大城市之间时，所最常用的航空公司选择名单。

　　5月9日，新京报记者登录一家航空公司官网。按照上述流程指导，在输入同事姓名以及身份证号后，网站没有任何身份真假验证流程即转跳到相应航班页面。

　　该页面清楚地显示出记者同事所预订航班的飞行时间、飞行地点，以及所选择的座位等信息。新京报记者还发现，当点击对方座位信息时，网站系统还提示可以进行“退座重选”的操作。

　　“其实很多航空公司官网都存在或多或少的漏洞。”5月10日，一位航空行业资深人士说，“通常航空公司只确定乘客姓名和身份证即可，但很少对手机进行绑定，所以很多信息正是从这一漏洞泄露出去。”

　　新京报记者登录几家知名航空公司的官网也发现，在办理登机流程时，只需要输入相应身份证和用户姓名即可，并没有通过注册时所绑定的手机号进行短信验证这一环节。

　　事实上，在多位“商家”传授航班信息查询方法时都特意叮嘱，查询者的姓名、身份证号码可以随便填写，但“务必要用自己的手机号码”。其原因正是“方便提示输入手机验证码时，好用来接受短信”。

　　“很难想象这种大型航空公司会出现如此漏洞。”上述商家对新京报记者说，“一家航空公司会员有3000多万人，这给了我们极大的利益空间。”

　　当记者向该商家咨询每月以“查询航班”的模式赚多少钱，他称，“几千到上万元”，“很多做得好的，每个月动辄近十万元”。

　　■ 延伸

　　航空信息泄露渠道多乘客维权取证难

　　“第三方APP以及官网所造成的信息泄露，只是整个航空行业冰山一角。如今航空信息泄露源头实在太多。”5月10日，一位多年从事航空管理工作的人士称，“泄密涉及环节太多，根本不清楚究竟是哪一环出现问题。”

　　新京报记者在调查时发现，尽管信息泄露渠道繁多，但源头指向了中航信Eterm系统。所谓Eterm系统，即为民航旅客订座系统，其是中航信信息系统下属系统之一。如今国内各大航空公司的订票系统，基本都使用的是中国民航信息集团公司系统。而这款系统面向航空公司、机场、机票销售代理等机构，主要提供航空客运业务、航空旅游电子分销等服务。

　　作为中航信系统核心之一，Eterm系统不仅可以查到航班的座位预订情况，还能详尽地查阅到每班航班上的订位编码，乘客的座位、舱位、姓名、证件号、电话号码等诸多隐私信息信息。

　　此前曾有国内媒体报道称，有权限查看并有可能泄露信息的源头，主要有机票代理商、航空公司工作人员、中航信工作人员，以及黑客这四大类人群。他们通过不同渠道和权限，在Eterm系统上查到乘客详细资料。

　　4月21日，《南方都市报》曾就Eterm系统报道称，经销商在中航信处购买Eterm系统后，中航信通常只会发出相应的单独账号，然而这一账号可以通过软件分出数个登录小号。这套软件任何人都可以下载，下载安装之后，只要有登录账号就可以访问中航信的数据库。

　　5月10日，记者在相应QQ群、贴吧等网友集中的网站发现，数家出租出售Eterm系统的商家混杂其中。而系统租赁价格也按照查询功能多少，从数百元到近万元不等。

　　“你只要购买航司B系统，能查到相关信息。”得知记者意欲查阅行程信息时，一位商家热情推荐到，“通过这个系统，你能查到包括身份证、姓名、联系方式、常用旅客卡等多个信息。”

　　由于从Eterm系统源头到乘客，中间经历了中航信、航空公司、票代、在线订购网站、第三方航空APP等多个环节。每个环节都存在信息泄露的可能性，也导致乘客在维权时，因无法精准地找到泄露源头，不得不面临着“取证困难”的困局。

　　实际上，中国民用航空局曾于2017年2月就《民航网络信息安全管理划定（暂行）（征求意见稿）》公开征求意见。

　　其中针对“退改签诈骗”、“航空诈骗”等问题做出规定：民航各单位应当制定旅客信息保护轨制，对在提供服务过程中收集、使用的旅客信息，应当采取相应措施严格保护，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。而对于此前曾多次爆出信息泄露的第三方平台，更是强调称，民航各单位将旅客信息转移或委托给其他组织或机构使用的，应当签订旅客信息保护协议，明确旅客信息使用范围和保护责任。

　　“规定具体能带来怎样的效果，现阶段谁也说不清楚。”前述多年从事航空管理工作人士称，“多个泄密渠道的存在，导致现在谁也不知道自己的信息被多少人掌握。”（记者覃澈）

相关链接：

• 上一页
• 1
• 2
• 3
• 4
• 全文阅读