刚刚预订了航班,马上就接到“航班因故取消”的电话,电话那头,有人自称航空公司的客服,并能准确报出乘客的乘机信息———不少人因此掉以轻心,受骗上当。
与此同时,明星的航班信息公然在QQ群和微信等地,标价叫卖。南都记者了解到,一条售价仅需7元。不光航班信息可售,明星的证件、护照及手机号码亦可打包出售。近日,南都记者调查发现,乘客航班信息的安全隐患依然存在,以很低的成本就能查询到旅客的基本信息。
其中,曾于2016年10月被央视《焦点访谈》点名曝光的中航信系统,事后并没有彻底堵住漏洞,网上依然有不少不法商家公开出租中航信的民航旅客订座系统(ETERM系统),有的声称只要500元便可买5万个流量,可查询包括部分航空公司的旅客出行记录等。
4月19日下午5时,南都记者与同伴两人通过携程商旅订了深圳航空航班号为ZH 9443航班,从广州飞往四川,机票价格为1510/人。当天下午5时30分,通过该系统,南都记者顺利检索到了自己和同行者的相关信息。
中航信对南都记者回应称,依规发放给机票代理人的系统配置和权限,仅能查询自身销售的客票信息和其他人授权的客票信息,即使通过某种软件所分出的账号也只能查询自身客票信息。
加盟代理明星航班5元出售
4月19日,小北(化名)发布微博称,朋友在某知名商旅网站订购两张机票,最终信息外泄,导致被骗一万多元。小北告诉南都记者,对方自称航空公司客服要求改签,由于对方能准确报出具体的航班信息,朋友因此上当。
与小北的朋友一样,收到过类似航班诈骗短信的人并不少。
南都记者调查发现,要想获得某一乘客的航班信息并不难,7元就可买到明星的航班信息。4月20日,南都记者以“航班信息”等关键词进行搜索,发现在微博、QQ群和微信上,不少人贴出明星的航班信息。
4月20日,南都记者加入一个名为“明星航班早知道”的QQ群。群里不时会贴出最近的明星航班,包括起降时间、往返地点等。
南都记者在该群联系了一个名为“妧小小”的商家。随后,“妧小小”让南都记者加微信“A妧小小”。
南都记者发现,在她的QQ空间和微信朋友圈里有大量明星航班信息,其中介绍称,你想要的都有,包括明星航班微信……证件护照手机号可单买可打包,平均几毛一个,还教查询航班的方法,国内国外都可以。
“妧小小”还在朋友圈发文介绍:“120元大包带走鹿晗微信+护照+微博小号”,平均一个40元。
“妧小小”告诉南都记者,收费标准一般按照查询的难易程度来定。“如果难查就是10元,不难查就是7元”。“妧小小”说,“今天有人查过张信哲[微博]的航班信息,收费20元”。
她向南都记者发来几张图片,显示查询可以精确到选座信息。图片显示,几天后(涉及当事人隐私,故隐去,下同)从义乌飞往北京的航班上,张信哲的选座信息显示为“未选座”。
不仅国内明星,国外明星的航班信息也可利用护照查询。“迪玛希的航班有点棘手,如果问内部人员可能要贵一点,收费18元。”“妧小小”向南都记者传来的一张图片显示,迪玛希几天后的早上8点05分,将乘坐南航某航班,从长沙出发,9点50分抵达西安。
值得一提的是,除了航班信息之外,“妧小小”也出售明星证件、护照、手机号、微信甚至微博小号等信息,每个售价50元。
“妧小小”告诉南都记者,自己正在招代理。如果成为她的代理,拿明星证件、手机号、微信和护照只需要25元,航班信息5元即可。
“你宣传好,自然会赚很多,顾客多的话一个月几千,一天几百元。”
在交了50元代理费后,南都记者成为“妧小小”的下线。她发来一段入门必知内容,声称刚入行的人员记得要去微博、贴吧、QQ等宣传招揽顾客,不能偷懒。每出单一次就要在朋友圈里发一次,增加信誉度。同时,她还提醒入这行就该懂得和顾客说话。比如,当顾客询问怎么拿到明星微信时,应该这样回答,“我们圈里会有专门的人查询。”当问及怎么保证是真的,可以这么回复,“圈子里很多同行都认定的我们才卖。”
“妧小小”总结,“做微商就是要精明,不可以感情用事,也不可以怕事,为了卖出商品有时候适当用些手段,比如夸大说辞等”。
多个渠道成为信息泄露源
那么,乘客的航班信息是如何泄露出去的呢?多名民航业内人士告诉南都记者,信息泄露的根源在航班订位系统。
国内航空专家林智杰称,由于现在国内各大航空公司的订票系统,除春秋航空外,基本都使用的是中国民航信息集团公司(简称中航信)的系统,旅客的航班等信息也均在系统中储存。所以,有权限查看并有可能泄露信息的主要有四大类人群。
第一种是机票代理商,比如一些知名商旅网站的相关工作人员,能够通过中航信发放的代理商账号查到乘客信息。这种方法能查询到的主要是通过代理商渠道购买机票的乘机人信息。
第二种是航空公司的工作人员,主要包括营销部门的经理主管、地服、值机、安检人员等。这类工作人员能查询到的是购买所在航空公司机票的乘机人信息。
第三种是中航信工作人员。由于全国绝大多数航空公司的乘机人信息都会在中航信系统中存储,中航信的相关工作人员能查询到绝大多数旅客的个人信息。
最后一种比较特殊,即一些黑客利用员工密码或系统漏洞进入中航信系统并查询信息。
公开资料显示,无论是在国内哪个订票网站或航空公司官网订票,出行者的个人信息都会被提供给国内最大的机票分销系统服务提供商———中航信。中航信开发的机票销售系统可以进行查询、预订、出票和退改签等操作。
南都记者了解到,中航信信息系统,是中航信面向航空公司、机场、机票销售代理等机构,提供航空客运业务、航空旅游电子分销、机场旅客处理等业务的信息平台。该信息系统主要包括核心网络、电子客票系统、民航旅客订座系统(ETER M系统)、离港控制系统。其中民航旅客订座系统(ETER M系统)又包含代理人分销系统(C R S系统,简称C系统)、航班控制系统(ICS系统,简称B系统)。B系统可以提供的信息相对较多,不仅可以查到大量航班的座位预订情况和实际出票量,还包括航班上的订位编码(PN R),乘客的航班、座位、舱位、价格、姓名、身份证、电话号码等信息均在其中。
通常,中航信只会发给经销商一个账号,但经销商可以通过某软件分出若干个登录小号。这套软件任何人都可以下载,下载安装之后,只要有登录账号就可以访问中航信的数据库。
也就是说,有了这些账号就等于拿到了打开航班信息库的钥匙,也就可以获取旅客的航班信息。这让中航信旅客信息泄露问题屡遭诟病。
一位业内人士称,早在几年前,他就曾通过网页下载E T E R M软件,当时任何人都可以随便查看航班信息。每当有热点人物出现时,他有时会随手搜索一下,比如当郭美美炫富时,他就查了她的航班信息,了解到她与妈妈一同出行。“那个时候真是随便看。”其称,大概在三四年前,该系统被中航信部分屏蔽,现在只有账号权限较高的人才可以看到所有信息。
500元可买到代理人账号
尽管如此,还是有服务商有路可循。其中俗称“黑屏系统”的民航旅客订座系统(ET ER M系统)便常被不法分子违规利用。
南都记者调查发现,在网上存在大量出租中航信查询账号的广告,声称可以“提取航班信息”、“查询明星行踪”。
南都记者在网上以“E T E R M系统出租”等关键字进行搜索,联系上一名服务商,其声称500元便可买5万个流量,可查询包括部分航司的旅客信息、具体旅客的出行记录等。
除了出租系统账号以外,南都记者调查发现,有一些服务商更是直接出售旅客信息。一名名为“cc”服务商告诉南都记者,自己使用的是航司B系统原始配置,“身份证、票号、电话都有”,7元一条,50条起售。为了让南都记者信服,“cc”还贴出与多名客人交易的截图,有的人要求“早上的数据要50条,晚上的数据要50条”。
一名服务商甚至在微信朋友圈中贴出邓超[微博]2016年的多条出行记录来招揽生意。截图显示,其中一条行程是2016年3月的一天,从上海飞往厦门,而南都记者搜索发现,当日,邓超确实到达厦门机场为“跑男”录制了节目。
从一名曾在此购买账号、密码的知情人手中,南都记者得到了一组账号密码,随后成功在中航信官方网页下载的E T E R M软件登录。
记者亲测查到同事航班记录
南都记者了解ET ERM查询语言得知,通过输入不同的指令,系统可以搜索出不同信息。如通过相关指令查询指定身份证号,可得出指定对象在半年内部分航司的出行记录以及对应票号;而通过输入具体日期等某一班次航班以及顾客姓氏的开头字母,可提取该航班的符合条件的所有顾客信息以及PN R编码(旅客订座记录);再输入另一个指令查询PN R编码,旅客的姓名、身份证信息、订票电话甚至常用银行卡号,则全部暴露无遗。
不同指令查询到的内容通过交叉检索,便可得到更多信息。
也就是说,只要拥有足够的权限,只要在一个随机航班里选择某名张姓乘客,就可以查出其身份证信息,从而得到他的出行记录。
南都记者测试发现,该账号只能查询到部分航空公司以及半年内的出行记录。在多名同事的授权下,记者以身份证号在系统上进行查询,符合条件者均出现了对应的航班记录。
值得一提的是,南都记者亲测,刚买的航班信息也可以在该系统上查询。
4月19日下午5时,南都记者与同伴两人通过携程商旅订了深圳航空航班号为ZH 9443航班,从广州飞往四川,机票价格为1510元/人。当天下午5时30分,通过该系统相关指令查询这趟航班的相关姓氏,系统上直接出现了南都记者与一起订票同伴的姓名与身份证号,还有一个电话号码。
南都记者尝试拨打该电话,了解到对方是在某旅游平台负责订票业务的工作人员何先生。他称,当顾客向平台提交订单信息后,他们可以看到姓名、身份证或护照等信息。在帮顾客订完票后,他们需要将航空公司发送的航班信息进行编辑,然后转给顾客,而其中不存在泄露信息的情况。
相反,何先生称,自己经常接到骚扰电话,有时一天十几个电话,包括保险、买房和理财等。当南都记者告知,他的电话号码出现在航班信息查询系统中时,何先生表示很惊讶。
那么,这些服务商所能提供的代理账号又来自哪里呢?
南都记者查阅裁判文书网了解到,2015年12月,山东省济南市历城区人民法院曾审理一起案件。2013年11月,原系中航信职工的高某某将其掌握的B系统账号私自提供给多人使用,使他们可以查询B系统内的数据信息。高某某因此获利203066元。
判决书显示,高某某一审因提供专门用于侵入计算机信息系统工具罪,被判处有期徒刑三年,缓刑五年,并处罚金八万元。
针对“退改签诈骗”、“航空诈骗”等频发问题,规定指出:民航各单位应当制定旅客信息保护轨制,对在提供服务过程中收集、使用的旅客信息,应当采取相应措施严格保护,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。在发生或者可能发生旅客信息泄露时,应当立刻采取补救措施。规定同时强调,民航各单位将旅客信息转移或委托给其他组织或机构使用的,应当签订旅客信息保护协议,明确旅客信息使用范围和保护责任。=
热2017-01-17
热2017-03-10
热2017-02-17
热2017-08-08
热2017-01-16
热2017-02-13