刚刚预订了航班,马上就接到“航班因故取消”的电话,电话那头,有人自称航空公司的客服,并能准确报出乘客的乘机信息——不少人因此掉以轻心,受骗上当。
与此同时,明星的航班信息公然在QQ群和微信等地,标价叫卖。南都记者了解到,一条售价仅需7元。不光航班信息可售,明星的证件、护照及手机号码亦可打包出售。
近日,南都记者调查发现,乘客航班信息的安全隐患依然存在,以很低的成本就能查询到旅客的基本信息。
其中,曾于2016年10月被央视《焦点访谈》点名曝光的中航信系统,事后并没有彻底堵住漏洞,网上依然有不少不法商家公开出租中航信的民航旅客订座系统(ETERM系统),有的声称只要500元便可买5万个流量,可查询包括部分航空公司的旅客出行记录等。
加盟代理明星航班5元出售
南都记者调查发现,要想获得某一乘客的航班信息并不难,7元就可买到明星的航班信息。
4月20日,南都记者以“航班信息”等关键词进行搜索,发现在微博、QQ群和微信上,不少人贴出明星的航班信息。
微博上有不少人贴出明星航班信息。
同日,南都记者加入一个名为“明星航班早知道”的QQ群。群里不时会贴出最近的明星航班,包括起降时间、往返地点等。
南都记者在该群联系了一个名为“妧小小”的商家。随后,“妧小小”让南都记者加微信“A妧小小”。
南都记者发现,在她的QQ空间和微信朋友圈里有大量明星航班信息,其中介绍称,你想要的都有,包括明星航班微信……证件护照手机号可单买可打包,平均几毛一个,还教查询航班的方法,国内国外都可以。
早前,卖家在朋友圈晒出易烊千玺4月18日(时效已过)的航班信息。
“妧小小”还在朋友圈发文介绍:“120元大包带走鹿晗微信+护照+微博小号”。
卖家在朋友圈晒出的广告,证件护照微信手机号可单买可打包。
“妧小小”告诉南都记者,收费标准一般按照查询的难易程度来定。“如果难查就是10元,不难查就是7元”。“妧小小”说,“今天有人查过张信哲的航班信息,收费20元”。
卖家称7元可查明星航班信息。
她向南都记者发来几张图片,显示查询可以精确到选座信息。图片显示,几天后(涉及当事人隐私,故隐去,下同)从义乌飞往北京的航班上,张信哲的选座信息显示为“未选座”。
不仅国内明星,国外明星的航班信息也可利用护照查询。“迪玛希的航班有点棘手,如果问内部人员可能要贵一点,收费18元。”“妧小小”向南都记者传来的一张图片显示,迪玛希几天后的早上8点05分,将乘坐南航某航班,从长沙出发,9点50分抵达西安。
值得一提的是,除了航班信息之外,“妧小小”也出售明星证件、护照、手机号、微信甚至微博小号等信息,每个售价50元。
卖家称不仅航班信息,证件、护照、手机号都可售。
“妧小小”告诉南都记者,自己正在招代理。如果成为她的代理,拿明星证件、手机号、微信和护照只需要25元,航班信息5元即可。
“你宣传好,自然会赚很多,顾客多的话一个月几千,一天几百元。”
卖家称一天可赚几百元。
在交了50元代理费后,南都记者成为“妧小小”的下线。她发来一段入门必知内容,声称刚入行的人员记得要去微博、贴吧、QQ等宣传招揽顾客,不能偷懒。每出单一次就要在朋友圈里发一次,增加信誉度。
同时,她还提醒入这行就该懂得和顾客说话。比如,当顾客询问怎么拿到明星微信时,应该这样回答,“我们圈里会有专门的人查询。”当问及怎么保证是真的,可以这么回复,“圈子里很多同行都认定的我们才卖。”
“妧小小”总结,“做微商就是要精明,不可以感情用事,也不可以怕事,为了卖出商品有时候适当用些手段,比如夸大说辞等”。
多个渠道成为信息泄露源
那么,乘客的航班信息是如何泄露出去的呢?多名民航业内人士告诉南都记者,信息泄露的根源在航班订位系统。
国内航空专家林智杰告诉南都记者,由于现在国内各大航空公司的订票系统,除春秋航空外,基本都使用的是中航信的系统,旅客的的航班等信息也均在系统中储存。所以,有权限查看并有可能泄露信息的主要有五大类人群。
第一种是机票代理商,比如携程、去哪儿网等公司的相关工作人员,他们能够查询到通过自己出票的旅客航班信息。
第二种是航空公司的工作人员,主要包括营销、地服值机等人员。他们能够查询到的是购买所在航空公司机票的乘机人信息。
第三种是机场工作人员,主要是机场值机等,可以查询到从本机场出发的旅客信息。
第四种是中航信的工作人员。由于全国绝大多数航空公司的乘机人信息都会在中航信系统中存储。所以,中航信的相关工作人员能查询到绝大多数旅客的个人信息。
最后一种则比较特殊,可能有一些黑客利用盗取的员工账号或是系统漏洞进入中航信系统并查询乘客信息。
中航信信息系统
主要包括核心网络、电子客票系统、民航旅客订座系统(ETERM系统)、离港控制系统。
其中民航旅客订座系统(ETERM系统)又包含代理人分销系统(CRS系统,简称C系统)、航班控制系统(ICS系统,简称B系统)。
B系统可以提供的信息相对较多,不仅可以查到大量航班的座位预订情况和实际出票量,还包括航班上的订位编码(PNR),乘客的航班、座位、舱位、价格、姓名、身份证、电话号码等信息均在其中。
500元可买到代理人账号
南都记者调查发现,在网上存在大量出租中航信查询账号的广告,声称可以“提取航班信息”、“查询明星行踪”。
南都记者在网上以“ETERM系统出租”等关键字进行搜索,联系上一名服务商,其声称500元便可买5万个流量,可查询包括部分航司的旅客信息、具体旅客的出行记录等。
除了出租系统账号以外,南都记者调查发现,有一些服务商更是直接出售旅客信息。一名名为“cc”服务商告诉南都记者,自己使用的是航司B系统原始配置,“身份证、票号、电话都有”,7元一条,50条起售。为了让南都记者信服,“cc”还贴出与多名客人交易的截图,有的人要求“早上的数据要50条,晚上的数据要50条”。
一名服务商甚至在微信朋友圈中贴出邓超2016年的多条出行记录来招揽生意。截图显示,其中一条行程是2016年3月的一天,从上海飞往厦门,而南都记者搜索发现,当日,邓超确实到达厦门机场为“跑男”录制了节目。
查询南都记者所坐航班,多项个人信息一目了然。
记者亲测查到同事航班记录
从一名曾在此购买账号、密码的知情人手中,南都记者(微信号:nddaily)得到了一组账号密码。南都记者了解ETERM查询语言得知,通过输入不同的指令,系统可以搜索出不同信息。
南都记者测试发现,该账号只能查询到部分航空公司以及半年内的出行记录。在多名同事的授权下,记者以身份证号在系统上进行查询,符合条件者均出现了对应的航班记录。
通过身份证号可搜出一系列过往行程信息。
值得一提的是,南都记者亲测,刚买的航班信息也可以在该系统上查询。
4月19日下午5时,南都记者与同伴两人通过携程商旅订了深圳航空航班号为ZH 9443航班,从广州飞往四川,机票价格为1510元/人。
半小时后,下午5时30分,通过该系统相关指令查询这趟航班的相关姓氏,系统上直接出现了南都记者与一起订票同伴的姓名与身份证号,还有一个电话号码。
查询南都记者所坐航班,多项个人信息一目了然。
南都记者尝试拨打该电话,了解到对方是在某旅游平台负责订票业务的工作人员何先生。他称,当顾客向平台提交订单信息后,他们可以看到姓名、身份证或护照等信息。在帮顾客订完票后,他们需要将航空公司发送的航班信息进行编辑,然后转给顾客,而其中不存在泄露信息的情况。
相反,何先生称,自己经常接到骚扰电话,有时一天十几个电话,包括保险、买房和理财等。当南都记者告知,他的电话号码出现在航班信息查询系统中时,何先生表示很惊讶。
那么,这些服务商所能提供的代理账号又来自哪里呢?
南都记者查阅裁判文书网了解到,2015年12月,山东省济南市历城区人民法院曾审理一起案件。2013年11月,原系中航信职工的高某某将其掌握的B系统账号私自提供给多人使用,使他们可以查询B系统内的数据信息。高某某因此获利203066元。
判决书显示,高某某一审因提供专门用于侵入计算机信息系统工具罪,被判处有期徒刑三年,缓刑五年,并处罚金八万元。
维权困境
顾客面临取证难
难证明泄露源头
南都记者注意到,此前针对信息泄露问题,消费者和航空公司也曾“对簿公堂”。
北京志霖律师事务所副主任、中国政法大学知识产权研究中心特约研究员赵占领律师告诉南都记者——
类似乘客航班信息被泄露的事情很多,但是由于取证难的问题,很少有人进行起诉。因为掌握信息的主体,包括航空公司、代理商、在线订购网站、中航信等,很难证明究竟是从哪里泄露信息的。
消费者能做的非常有限,就是提高警惕性,增强防骗意识。比如别访问钓鱼网站,遇到航班取消的客服电话,最好再打电话给官方客服确认。他提醒,尽管显示的号码可能是航空公司,但是号码可以通过改号软件修改,所以需要反复确认。
携程相关工作人员告诉南都记者——
客人在预订机票后,可以使用订票软件查询准确的航班信息,减小被诈骗的几率,如果收到诈骗短信,应立即报警。
南都记者查询国务院法制信息办看到,中国民用航空局于今年2月21日起草了《民航网络信息安全管理划定(暂行)(征求意见稿)》。根据国内民航发展的实际情况,从制度和技术层面对旅客信息保护加以规定,主要包括旅客信息保护制度、收集使用旅客信息的规定以及旅客信息转移或委托的规定。
公司回应
中航信:代理人仅能查询自身销票和他人授权信息
针对航空乘客信息泄露问题,4月20日,中航信方面向南都记者(微信号:nddaily)回应——
中航信依规发放给机票代理人的系统配置和权限,仅能查询自身销售的客票信息和其他人授权的客票信息,即使通过某种软件所分出的账号也只能查询自身客票信息。
此外,根据相关规定,中航信在向代理人发放系统配置和权限之前,与其签订有明确的使用协议,规定代理人不得擅自使用未认证的设备或产品接入中国航信系统,不得向自己工作人员之外的人员提供中国航信的系统配置和权限,不得利用配置和权限进入中国航信系统或使用销售服务来获取系统中数据。
中航信相关工作人员也表示—
早在2010年,中航信就针对代理人利用外挂平台的行为进行了坚决的清理,违规行为得到了有效控制,这类外挂平台其中一个重要的功能就是将中国航信发放给中航协所批准的机票代理人(经销商)的配置和权限违规分出若干个登录账号,对外提供机票销售和服务。
4月20日,携程方面则对南都记者表示——
携程机票业务及信息安全部门监管严格,会定期反复排查,目前没有任何证据显示客户信息泄露与携程有关。
携程内部有严格的安全控制措施,客户信息的传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些资料。