刚刚预订了航班,马上就接到“航班因故取消”的电话,电话那头,有人自称航空公司的客服,并能准确报出乘客的乘机信息———不少人因此掉以轻心,受骗上当。
与此同时,明星的航班信息公然在QQ群和微信等地,标价叫卖。南都记者了解到,一条售价仅需7元。不光航班信息可售,明星的证件、护照及手机号码亦可打包出售。近日,南都记者调查发现,乘客航班信息的安全隐患依然存在,以很低的成本就能查询到旅客的基本信息。
其中,曾于2016年10月被央视《焦点访谈》点名曝光的中航信系统,事后并没有彻底堵住漏洞,网上依然有不少不法商家公开出租中航信的民航旅客订座系统(ETERM系统),有的声称只要500元便可买5万个流量,可查询包括部分航空公司的旅客出行记录等。
4月19日下午5时,南都记者与同伴两人通过携程商旅订了深圳航空航班号为ZH 9443航班,从广州飞往四川,机票价格为1510/人。当天下午5时30分,通过该系统,南都记者顺利检索到了自己和同行者的相关信息。
中航信对南都记者回应称,依规发放给机票代理人的系统配置和权限,仅能查询自身销售的客票信息和其他人授权的客票信息,即使通过某种软件所分出的账号也只能查询自身客票信息。
加盟代理明星航班5元出售
4月19日,小北(化名)发布微博称,朋友在某知名商旅网站订购两张机票,最终信息外泄,导致被骗一万多元。小北告诉南都记者,对方自称航空公司客服要求改签,由于对方能准确报出具体的航班信息,朋友因此上当。
与小北的朋友一样,收到过类似航班诈骗短信的人并不少。
南都记者调查发现,要想获得某一乘客的航班信息并不难,7元就可买到明星的航班信息。4月20日,南都记者以“航班信息”等关键词进行搜索,发现在微博、QQ群和微信上,不少人贴出明星的航班信息。
4月20日,南都记者加入一个名为“明星航班早知道”的QQ群。群里不时会贴出最近的明星航班,包括起降时间、往返地点等。
南都记者在该群联系了一个名为“妧小小”的商家。随后,“妧小小”让南都记者加微信“A妧小小”。
南都记者发现,在她的QQ空间和微信朋友圈里有大量明星航班信息,其中介绍称,你想要的都有,包括明星航班微信……证件护照手机号可单买可打包,平均几毛一个,还教查询航班的方法,国内国外都可以。
“妧小小”还在朋友圈发文介绍:“120元大包带走鹿晗[微博]微信+护照+微博小号”,平均一个40元。
“妧小小”告诉南都记者,收费标准一般按照查询的难易程度来定。“如果难查就是10元,不难查就是7元”。“妧小小”说,“今天有人查过张信哲[微博]的航班信息,收费20元”。
她向南都记者发来几张图片,显示查询可以精确到选座信息。图片显示,几天后(涉及当事人隐私,故隐去,下同)从义乌飞往北京的航班上,张信哲的选座信息显示为“未选座”。
不仅国内明星,国外明星的航班信息也可利用护照查询。“迪玛希的航班有点棘手,如果问内部人员可能要贵一点,收费18元。”“妧小小”向南都记者传来的一张图片显示,迪玛希几天后的早上8点05分,将乘坐南航某航班,从长沙出发,9点50分抵达西安。
值得一提的是,除了航班信息之外,“妧小小”也出售明星证件、护照、手机号、微信甚至微博小号等信息,每个售价50元。
“妧小小”告诉南都记者,自己正在招代理。如果成为她的代理,拿明星证件、手机号、微信和护照只需要25元,航班信息5元即可。
“你宣传好,自然会赚很多,顾客多的话一个月几千,一天几百元。”
在交了50元代理费后,南都记者成为“妧小小”的下线。她发来一段入门必知内容,声称刚入行的人员记得要去微博、贴吧、QQ等宣传招揽顾客,不能偷懒。每出单一次就要在朋友圈里发一次,增加信誉度。同时,她还提醒入这行就该懂得和顾客说话。比如,当顾客询问怎么拿到明星微信时,应该这样回答,“我们圈里会有专门的人查询。”当问及怎么保证是真的,可以这么回复,“圈子里很多同行都认定的我们才卖。”
“妧小小”总结,“做微商就是要精明,不可以感情用事,也不可以怕事,为了卖出商品有时候适当用些手段,比如夸大说辞等”。
多个渠道成为信息泄露源
那么,乘客的航班信息是如何泄露出去的呢?多名民航业内人士告诉南都记者,信息泄露的根源在航班订位系统。
国内航空专家林智杰称,由于现在国内各大航空公司的订票系统,除春秋航空外,基本都使用的是中国民航信息集团公司(简称中航信)的系统,旅客的航班等信息也均在系统中储存。所以,有权限查看并有可能泄露信息的主要有四大类人群。
第一种是机票代理商,比如一些知名商旅网站的相关工作人员,能够通过中航信发放的代理商账号查到乘客信息。这种方法能查询到的主要是通过代理商渠道购买机票的乘机人信息。
第二种是航空公司的工作人员,主要包括营销部门的经理主管、地服、值机、安检人员等。这类工作人员能查询到的是购买所在航空公司机票的乘机人信息。
第三种是中航信工作人员。由于全国绝大多数航空公司的乘机人信息都会在中航信系统中存储,中航信的相关工作人员能查询到绝大多数旅客的个人信息。
最后一种比较特殊,即一些黑客利用员工密码或系统漏洞进入中航信系统并查询信息。
公开资料显示,无论是在国内哪个订票网站或航空公司官网订票,出行者的个人信息都会被提供给国内最大的机票分销系统服务提供商———中航信。中航信开发的机票销售系统可以进行查询、预订、出票和退改签等操作。
南都记者了解到,中航信信息系统,是中航信面向航空公司、机场、机票销售代理等机构,提供航空客运业务、航空旅游电子分销、机场旅客处理等业务的信息平台。该信息系统主要包括核心网络、电子客票系统、民航旅客订座系统(ETER M系统)、离港控制系统。其中民航旅客订座系统(ETER M系统)又包含代理人分销系统(C R S系统,简称C系统)、航班控制系统(ICS系统,简称B系统)。B系统可以提供的信息相对较多,不仅可以查到大量航班的座位预订情况和实际出票量,还包括航班上的订位编码(PN R),乘客的航班、座位、舱位、价格、姓名、身份证、电话号码等信息均在其中。
通常,中航信只会发给经销商一个账号,但经销商可以通过某软件分出若干个登录小号。这套软件任何人都可以下载,下载安装之后,只要有登录账号就可以访问中航信的数据库。
也就是说,有了这些账号就等于拿到了打开航班信息库的钥匙,也就可以获取旅客的航班信息。这让中航信旅客信息泄露问题屡遭诟病。
一位业内人士称,早在几年前,他就曾通过网页下载E T E R M软件,当时任何人都可以随便查看航班信息。每当有热点人物出现时,他有时会随手搜索一下,比如当郭美美炫富时,他就查了她的航班信息,了解到她与妈妈一同出行。“那个时候真是随便看。”其称,大概在三四年前,该系统被中航信部分屏蔽,现在只有账号权限较高的人才可以看到所有信息。
500元可买到代理人账号
尽管如此,还是有服务商有路可循。其中俗称“黑屏系统”的民航旅客订座系统(ET ER M系统)便常被不法分子违规利用。
南都记者调查发现,在网上存在大量出租中航信查询账号的广告,声称可以“提取航班信息”、“查询明星行踪”。
南都记者在网上以“E T E R M系统出租”等关键字进行搜索,联系上一名服务商,其声称500元便可买5万个流量,可查询包括部分航司的旅客信息、具体旅客的出行记录等。
除了出租系统账号以外,南都记者调查发现,有一些服务商更是直接出售旅客信息。一名名为“cc”服务商告诉南都记者,自己使用的是航司B系统原始配置,“身份证、票号、电话都有”,7元一条,50条起售。为了让南都记者信服,“cc”还贴出与多名客人交易的截图,有的人要求“早上的数据要50条,晚上的数据要50条”。
一名服务商甚至在微信朋友圈中贴出邓超[微博]2016年的多条出行记录来招揽生意。截图显示,其中一条行程是2016年3月的一天,从上海飞往厦门,而南都记者搜索发现,当日,邓超确实到达厦门机场为“跑男”录制了节目。
从一名曾在此购买账号、密码的知情人手中,南都记者得到了一组账号密码,随后成功在中航信官方网页下载的E T E R M软件登录。
记者亲测查到同事航班记录
南都记者了解ET ERM查询语言得知,通过输入不同的指令,系统可以搜索出不同信息。如通过相关指令查询指定身份证号,可得出指定对象在半年内部分航司的出行记录以及对应票号;而通过输入具体日期等某一班次航班以及顾客姓氏的开头字母,可提取该航班的符合条件的所有顾客信息以及PN R编码(旅客订座记录);再输入另一个指令查询PN R编码,旅客的姓名、身份证信息、订票电话甚至常用银行卡号,则全部暴露无遗。
不同指令查询到的内容通过交叉检索,便可得到更多信息。
也就是说,只要拥有足够的权限,只要在一个随机航班里选择某名张姓乘客,就可以查出其身份证信息,从而得到他的出行记录。
南都记者测试发现,该账号只能查询到部分航空公司以及半年内的出行记录。在多名同事的授权下,记者以身份证号在系统上进行查询,符合条件者均出现了对应的航班记录。
值得一提的是,南都记者亲测,刚买的航班信息也可以在该系统上查询。
4月19日下午5时,南都记者与同伴两人通过携程商旅订了深圳航空航班号为ZH 9443航班,从广州飞往四川,机票价格为1510元/人。当天下午5时30分,通过该系统相关指令查询这趟航班的相关姓氏,系统上直接出现了南都记者与一起订票同伴的姓名与身份证号,还有一个电话号码。
南都记者尝试拨打该电话,了解到对方是在某旅游平台负责订票业务的工作人员何先生。他称,当顾客向平台提交订单信息后,他们可以看到姓名、身份证或护照等信息。在帮顾客订完票后,他们需要将航空公司发送的航班信息进行编辑,然后转给顾客,而其中不存在泄露信息的情况。
相反,何先生称,自己经常接到骚扰电话,有时一天十几个电话,包括保险、买房和理财等。当南都记者告知,他的电话号码出现在航班信息查询系统中时,何先生表示很惊讶。
那么,这些服务商所能提供的代理账号又来自哪里呢?
南都记者查阅裁判文书网了解到,2015年12月,山东省济南市历城区人民法院曾审理一起案件。2013年11月,原系中航信职工的高某某将其掌握的B系统账号私自提供给多人使用,使他们可以查询B系统内的数据信息。高某某因此获利203066元。
判决书显示,高某某一审因提供专门用于侵入计算机信息系统工具罪,被判处有期徒刑三年,缓刑五年,并处罚金八万元。
公司回应
中航信:代理人仅能查询自身销票和他人授权信息
针对航空乘客信息泄露问题,4月20日,中航信方面向南都记者回应,中航信依规发放给机票代理人的系统配置和权限,仅能查询自身销售的客票信息和其他人授权的客票信息,即使通过某种软件所分出的账号也只能查询自身客票信息。
此外,根据相关规定,中航信在向代理人发放系统配置和权限之前,与其签订有明确的使用协议,规定代理人不得擅自使用未认证的设备或产品接入中国航信系统,不得向自己工作人员之外的人员提供中国航信的系统配置和权限,不得利用配置和权限进入中国航信系统或使用销售服务来获取系统中数据。
中航信相关工作人员也表示,早在2010年,中航信就针对代理人利用外挂平台的行为进行了坚决的清理,违规行为得到了有效控制,这类外挂平台其中一个重要的功能就是将中国航信发放给中航协所批准的机票代理人(经销商)的配置和权限违规分出若干个登录账号,对外提供机票销售和服务。
4月20日,携程方面则对南都记者表示,携程机票业务及信息安全部门监管严格,会定期反复排查,目前没有任何证据显示客户信息泄露与携程有关。
该工作人员同时称,携程内部有严格的安全控制措施,客户信息的传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些资料。
维权困境
顾客面临取证难难证明泄露源头
南都记者注意到,此前针对信息泄露问题,消费者和航空公司也曾“对簿公堂”。
2013年,李某通过四川航空公司(下称“川航”)官方服务电话购买机票后,被诈骗短信通知航班取消,在未核实的情况下重新购买机票。之后,李某一纸诉状将川航以“信息泄露”为由告上法庭。
对此,川航解释称,自2005年起,川航便与中航信签约,由中航信代为提供航班控制系统服务、计算机分销系统服务、民航商务数据网络服务和订座系统延伸服务。因而,川航所收集的旅客信息都会录入该系统中,但无法对这些信息在传递、使用过程中的安全直接进行有效监控。
川航表示,在短信诈骗频发时期,全国各大航空公司均有涉及此类诈骗案例,唯有不使用中航信公司订票系统的秋航空未有涉及。李某航班信息泄露可能是订票系统的环节出现了问题,被不法分子利用。
北京志霖律师事务所副主任、中国政法大学知识产权研究中心特约研究员赵占领律师告诉南都记者,类似乘客航班信息被泄露的事情很多,但是由于取证难的问题,很少有人进行起诉。因为掌握信息的主体,包括航空公司、代理商、在线订购网站、中航信等,很难证明究竟是从哪里泄露信息的。
赵占领说,消费者能做的非常有限,就是提高警惕性,增强防骗意识。比如别访问钓鱼网站,遇到航班取消的客服电话,最好再打电话给官方客服确认。他提醒,尽管显示的号码可能是航空公司,但是号码可以通过改号软件修改,所以需要反复确认。
携程相关工作人员告诉南都记者,客人在预订机票后,可以使用订票软件查询准确的航班信息,减小被诈骗的几率,如果收到诈骗短信,应立即报警。
南都记者查询国务院法制信息办看到,中国民用航空局于今年2月21日起草了《民航网络信息安全管理划定(暂行)(征求意见稿)》。根据国内民航发展的实际情况,从制度和技术层面对旅客信息保护加以规定,主要包括旅客信息保护制度、收集使用旅客信息的规定以及旅客信息转移或委托的规定。
针对“退改签诈骗”、“航空诈骗”等频发问题,规定指出:民航各单位应当制定旅客信息保护轨制,对在提供服务过程中收集、使用的旅客信息,应当采取相应措施严格保护,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。在发生或者可能发生旅客信息泄露时,应当立刻采取补救措施。规定同时强调,民航各单位将旅客信息转移或委托给其他组织或机构使用的,应当签订旅客信息保护协议,明确旅客信息使用范围和保护责任。