本報記者 肖夏 上海報道
到底是誰在泄露乘客的個人信息?每當有航班取消短信詐騙發生後,很快有受害者通過網絡進行投訴,指責航空公司或訂票網站泄露信息。然而相關航空公司和網站都否認泄露信息,並強調其保護客戶信息的技術措施非常嚴格。
隨著遭遇詐騙的案例不斷增多,受害者購票渠道幾乎覆蓋瞭大多數國內航空公司和知名售票網站,信息從某一傢訂票網站或航空公司泄露的可能性逐漸減小,這讓外界將懷疑轉移到中航信身上。
幾乎所有國內航空公司都采用中航信的機票分銷系統,票代通過向中航信付費來獲得終端並查詢航班訂座信息。但在去年短信詐騙泛濫開始不久,中航信旗下航班信息軟件便否認瞭泄露信息的可能。
而21世紀經濟報道多方調查瞭解後發現,一些原本是因為中航信與票代之間因利益分配矛盾而產生的外掛系統如今正成為短信詐騙的重要工具,乘客們在訂票後不久,其個人信息便被不法分子以十幾至二十多元的價格賣給詐騙者。
被泄露的隱私
當發現訂票記錄和個人信息被泄露後,乘客的第一反應往往是直接向其訂票的第三方網站和航空公司投訴,因為這是多數乘客會直接接觸的兩個環節。
一位李姓的消費者12月17日收到詐騙短信後,就很快將矛頭對準瞭訂票的網站。而另一位王姓的消費者在航空公司官網上購票後不久,同樣在出行前夕收到瞭詐騙短信。
如果某一傢航空國際商標註冊公司官網或第三方訂票網站的客戶普遍遭遇詐騙,航空公司或訂票網站或許難辭其咎,但越來越多的案例顯示,乘客遭遇詐騙並非某一傢公司“獨享”——21世紀經濟報道僅僅從微博上查詢便發現,11月以來,持續有在攜程、去哪兒、藝龍幾大訂票網站和東航、南航、深圳航空等航空公司官網訂票的乘客投訴稱其收到瞭詐騙短信。
但第三方機票銷售平臺和航空公司都連聲喊冤。多個平臺都曾向21世紀經濟報道強調在其網站購票的乘客的個人隱私受到非常嚴密的保護,不可能出現如此大范圍的泄露。
而一傢國內航空公司的內部人士也曾向21世紀經濟報道透露,在大量乘客的信息泄露發生後不久,公司內部還曾專門進行過技術排查,但並未發現信息漏洞。
於是越來越多的質疑轉向瞭中航信。大多數乘客並不知道的是,無論是在國內哪個訂票網站或航空公司官網訂票,出行者的個人信息都會被提供給國內最大的機票分銷系統服務提供商——中航信。中航信開發的機票銷售系統eterm可以進行查詢、預訂、出票和退改簽等操作,目前國內除瞭春秋航空之外的航空公司都使用這一系統。
然而,在去年9月多傢航空公司的乘客遭遇短信詐騙後,中航信旗下的航班信息服務軟件“航旅縱橫”官方微博曾第一時間否認信息泄露與其有關,並強調稱其對信息保護有非常嚴格的規定。
但一年以後,這一類詐騙仍然肆虐。在此期間,航旅縱橫官微一直向在微博投訴的乘客強調中航信有嚴格保護乘客信息的規定,但中航信方面卻並未直接出面解答外界的質疑。
被叫賣的乘客信息
事實上,由於接入其機票銷售系統的渠道眾多,即使是中航信也很難判定其掌握的乘客信息是從哪裡流出。
目前全國有至少6000多傢獲得機票銷售資質的票代,中航信為這些有銷售資質的票代提供銷售終端配置和信息查詢,並向票代收費。理論上,隻要付費獲得瞭授權,票代就可以通過系統查詢到信息。
具體來說,不同系統提供的信息也有所不同。目前中航信提供的系統主要有C系統、B系統和J系統。C系統是針對票代,B系統是針對航空公司,而J系統是針對機場的離港系統。
票代用C系統隻能查詢從票代自己這裡出票的乘客信息。相比之下,B系統可以提供的信息更多,不僅可以查到大量航班的座位預訂情況和實際出票量,甚至還有航班上的訂位編碼(PNR),其中包括姓名、身份證、電話號碼、航班等等信息。
曾經有大量未獲得授權的“黑票代”外掛到中航信的系統中,這些票代因不願接受中航信的收費而無法獲得中航信的授權,但卻利用技術手段部分復制瞭系統,從而實現瞭對乘客信息的抓取。為此中航信曾在2010年大力清理違規外掛的票代,但“黑票代”卻並未被完全杜絕。
有瞭這些信息,詐騙者要實施詐騙並不困難。北京、江蘇和廈門三地的警方分別在今年5月、6月和10月破獲瞭違法利用乘客信息進行短信詐騙的案件,三地警方分別抓獲的犯罪團夥都是在海南儋州市,最大一筆詐騙涉及的金額超過170多萬元。根據報道,警方在通報案情時提到,這些嫌疑人獲得的大量航班信息是購買而來。
21世紀經濟報道也展開瞭調查,很快發現要購買機票數據並不困香港商標註冊難。記者12月中旬搜尋相關信息時發現,有一百多個以“機票數據”為主題的QQ群存在,這些群的介紹中很多直接標明是購買或收購機票數據。這些群規模不一,有的有上百人,有的隻有十幾個人。
記者以咨詢機票數據為名加入瞭多個QQ群,發現有幾個群直接就上傳瞭近期的群數據文件。其中一個名為“內部數據”的群文件中給出瞭十多條南航航班上的乘客信息,包含乘客的姓名、航班號、航班時間、乘客手機號、身份證號和機票號等信息。另一個群也提供類似的數據“以作測試”,其中不僅有機票數據,還列出瞭一些電商網站的客戶數據。
對於剛入群的人來說,這些數據相當於樣本,可以很快驗證這些數據是否真實。21世紀經濟報道在第一個機票群的群文件中隨機地選擇瞭一位乘客的票號、旅客姓名和手機號在南航官網上查詢,很快查詢到瞭這一票號真實存在,其對應的訂單編號、機上艙位、乘客姓名、兩段航程的具體時間、地點等也很快顯示出來,與群文件中提供的信息一致。
在確認其提供的信息真實存在後,記者以購美國商標註冊買數據為由向其中一個群的群主咨詢價格,對方聲稱可以提供去哪兒和攜程的機票數據,基本覆蓋國內的航空公司。具體來說,他手中的數據可以分為歷史數據和未起飛數據兩類,後一類數據他可以在乘客出行前兩天拿到。
根據他註冊香港商標的介紹,數據按條出售,其單價與購買數據的數量掛鉤,一般需要批量購買:“購買未起飛數據達到200條可以18元/條的價格出售、達到500條可以15元/條的單價出售。”
對方強調其手中的數據是一手信息,但卻拒絕向記者透露這些數據的來源,僅稱其可以接入航空公司的系統。從其樣本數據來看,其對接的正是上文提到的B系統。
B系統針對航空公司,理論上票代本身並沒有使用資格,那上述群主使用的系統又是從何而來?21世紀經濟報道進大陸商標一步查詢發現,網上要找到出租B系統的信息、用上B系統同樣也並不困難。
在一個分類信息網站上,一傢所謂的航空服務公司就發佈信息聲稱可以3000元/月的價格出租B系統。在交流的過程中,出租B系統和銷售數據的都表示隻接受支付寶等網絡交易,拒絕向記者提供更多與其身份和所在地有關的信息。
此外也有警方曾通報,有犯罪分子通過技術手段入侵航空公司網站,盜取過客戶信息。就在今年12月初,烏雲漏洞公開瞭一個關於東方航空大量用戶訂單信息泄露的漏洞,危害等級為高。但東航方面很快回應,某機票代理人系統服務器受到不明計算機連續攻擊,少數幾位乘客的退票信息被識別。為此東航技術部門對網站采取安全強化措施。(編輯 王潔)
文章標籤
全站熱搜
留言列表
