多家航空公司被曝系统漏洞 个人信息一条卖20元

31.01.2015  18:31

  春运将近,国内最大的漏洞发布平台乌云网披露了多起航空公司旅客个人信息泄露漏洞。记者了解到,包括旅客姓名、航班信息、身份证号、手机号在内的旅客个人信息在信息贩子手中的价格每条竟然高达20元,这些信息经过黑色产业链条,最后成为了逼真的退改签诈骗短信。

  >>披露

  机票信息可任意查出入境实时数据泄露

  记者昨天在乌云网上看到,仅1月29日一天就有5条涉及航空公司的漏洞得到公司确认,内容涉及航空公司B2C系统沦陷,千万机票信息可以查看;民航出入境API系统逻辑缺陷,导致出入境实时数据泄露;航空公司内部员工邮箱账号和密码泄露,可登录公司内部邮件系统。

  1月29日,乌云“白帽子”(正面的黑客,可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞)“路人甲”公开了“东方航空预付费卡系统沦陷”的漏洞。报告称,该漏洞可导致客户信息及预付费卡账号泄露,预付卡6位数字密码可爆破(解码),旅客姓名、身份证号、手机号码可能泄露。

  乌云网数据显示,目前东航方面已经确认了该漏洞。乌云网创始人之一孟卓告诉记者,这个漏洞的细节还未进入到公开流程,处于保密阶段。但该漏洞可能会导致预付卡中的钱被盗取。

  不只是东航,记者看到,在乌云公布的已被企业确认的系统漏洞中,近期涉及航空业的占到相当比例,包括厦门航空、上海航空以及值机常用的APP软件航旅纵横等。

  乌云漏洞报告指出,厦门航空B2B管理系统沦陷,可查任意乘客机票信息、修改任意代理机构密码、添加代理商等。

  对此,厦门航空在确认漏洞时表示,该系统为旧系统,已停用多时,近期由于内部原因重新打开测试,里面并未存放旅客信息,近期就将关闭。“这个漏洞的影响不应该被夸大。”厦门航空方面表示,“里面的旅客信息是其他航空公司的信息,我司已经2年不用该系统。

  东航方面昨天则称,预付卡系统并无漏洞,乌云的“白帽子”工程师采取了暴力攻击的方式才进入系统。“如果采取暴力攻击的方式,那没有系统是绝对安全的。”东航方面表示,目前东航已经采取了安全强化措施对系统进行了加固,现在用户账户是安全的。

  >>揭秘

  个人关键信息黑市每条卖20元

  金女士不久前订了东航从北京飞往武汉的机票,然而就在起飞前一晚,当她在网上值机后却意外地收到了一条署名为“东方航空”的提示短信:“尊敬的金女士,您预订的1月24日08:05北京-武汉航班由于机械故障不能起飞已取消,敬请谅解!请及时联系客服400-0335771办理改签或退票。退票和改签额外补偿200元,改签收取20元工本费。

  这样精准的诈骗短信旅客信息究竟从何而来?乌云网的一位资深“白帽子”告诉京华时报记者,为了搞清所泄露的旅客个人信息究竟怎样变成逼真的退改签诈骗短信,他专门假扮买家购买信息,从黑产数据贩子手中看到了旅客信息是交易的重点。

  记者看到,这位名为“陈飞”的数据贩子是通过QQ进行交易的,其QQ签名上赫然写着“每天早晨10点准时出料,量大提前预订,下午料5点出,晚上料9点出。

  “白帽子”给记者展示的交易数据显示,旅客姓名、航空公司、航班信息、起降时间、身份证号、手机号、票号信息应有尽有。而这样的信息每条售价居然高达20元。

  “这些数据都是没有起飞的航班信息,这样才有做黑色产业链的价值。印象中,数据交易常见的都是几分、几毛钱,多则几块,像这样的高价确实让人惊讶。”上述“白帽子”告诉记者,联系了多家数据贩子之后,大部分人给出的价格每条都在20元以上,23元、25元一条的也有。每天,这样的新数据有600-800条被卖出。“可见,机票诈骗有多暴利。”他说。

  >>解读

  多个环节均可致信息泄露

  孟卓表示,目前航空公司的客源信息泄露主要来源于两大方面,一是系统设计漏洞,二是内部人员安全和管理意识不够,这些系统漏洞可能会导致旅客出行/未出行航班信息泄露。但信息泄露并非仅仅是航空公司导致的,中航信系统、机票代理商、可以购买机票的旅游网站都可能因漏洞导致旅客关键信息被盗。

  网络安全专家赵占领认为,航空公司、票代、互联网售票平台都拥有旅客个人信息,信息泄露的原因可能是有内鬼盗取数据,也有可能是系统受到黑客攻击。

  上述白帽子也同意这样的说法,“从数据贩子拿到的信息看,这些旅客信息更像是专业的代理系统、售票平台出来的。所以说重视安全管理才显得重要。

  赵占领告诉记者,个人数据泄露之所以难以杜绝,一方面是涉及环节较多,不好发现问题出在哪里。另一方面,违法成本低,维权很难。如果走民事途径,不知道该起诉谁;如果走刑事途径,除非能揪出内鬼或黑客,否则不能立案。