2012年開始,國內機票退改簽電信詐騙事件開始爆發(fā),此類詐騙在2015年前后進入高峰期,各大航空公司、OTA平臺因此被不斷投訴。中航信因此備受困擾,雖然一直在完善自身管理,并推動上下游保護旅客信息,收效卻并不理想。賬號放大是中航信數據泄露的主要渠道,但賬號放大卻是國內代理人管理體系下的必然產物。國內外的航空信息化目前普遍處于一個更新迭代的關鍵時期,曾經為中國民航信息化做出突出貢獻的中航信也沒有停止步伐,技術革新是它面臨的一個重要挑戰(zhàn)。
賬號放大是中航信數據被通過各種主體特別是不法商戶泄露的主要渠道,但賬號放大卻是國內代理人管理體系下的必然產物。
明星鄧超的歷史航班行程被人堂而皇之貼在了微信朋友圈中,成為“追星系統(tǒng)”的廣告?!白沸窍到y(tǒng)”是不法商戶借用中國航信eTerm航司B系統(tǒng)打造的產品,并以此牟利,可以通過相應指令,以個人身份證件信息查詢其名下近期航班行程信息。中航信被稱為“中國民航健康運動的神經”,是全球第三大GDS(航空旅游分銷系統(tǒng)提供商),eTerm是包括航空公司、機票代理人、機場都在使用的預定、查詢、管理系統(tǒng)。
上述“追星系統(tǒng)”來自一個名為“午午午午”的淘寶店鋪,通過旺旺聊天,記者添加了“午午午午”的微信,并發(fā)現了這張鄧超行程的圖片。該圖片直接截取自eTerm黑屏系統(tǒng),通過“DETR:NI”指令,展示了鄧超的身份證,以及接近10次的歷史行程信息。而且,經過系統(tǒng)演示,店主向記者貼出了一張鄧超近一個月包括國航航班在內的最新行程記錄。
通過朋友圈中展示信息,該店鋪自稱“深圳高穩(wěn)快科技”,并宣稱出租 “eTerm多航大系統(tǒng)”,并且配備了齊全的ML、RT、DETR等指令。據航空公司內部人士介紹,“ML是航空公司系統(tǒng)專用指令,一次可以提取整個航班上的所有旅客信息,RT也是航司提取乘客信息的指令?!痹摰赇佅蛴浾哐菔玖薉ETR、RT指令,但并未演示ML指令。該出租系統(tǒng)售價接近5000元/月,且限制每月1萬次查詢。
需要指出,記者咨詢了兩家出售“飛機行程單”的淘寶店鋪,均表示出售eTerm系統(tǒng),此外,在QQ群、百度貼吧,部分行業(yè)網站均有大量出租eTerm系統(tǒng)者,售價從數百元/月到數萬元/月不等。此外,也有人以7元/條的價格明碼標價出售實時機票數據。這些,都成為航空信息泄露的源頭。
數據泄露門檻低
記者在上述渠道購買了兩套eTerm系統(tǒng)賬號,售價總計1300元。
其中一套為代理人查票賬號(AVH),該系統(tǒng)主要作用是為機票代理人通過AVH指令查詢可售航班、票價等信息,但也可以根據DETR指令定位乘客半年內的行程。通過中航信官網下載eTerm3.9版本以及指令手冊,從0基礎到熟練使用部分指令僅需要約1個小時。
錄入賣家提供的賬號、密碼、服務器地址、端口等信息后,登錄eTerm系統(tǒng),記者通過“DETR:NI/身份證”指令,查詢多名同事信息,90%的同事行程可查,可以查詢票價、預定時間、姓名、身份證號、常用旅客卡等數據。不過,行程信息中存在部分缺漏。賣家告訴記者:“這套系統(tǒng)覆蓋率只有60%,在航空公司官網預定的機票,代理人系統(tǒng)里無法查詢,航司并不跟代理人共享這些數據?!?/span>
行業(yè)內將eTerm系統(tǒng)分為機場A系統(tǒng)、航司B系統(tǒng)、代理人C系統(tǒng)三類,上述代理人賬號屬于C系統(tǒng)。
記者購買到的另一個系統(tǒng)據賣家稱“是國航B系統(tǒng),可查國航、深航”,除了AVH、DETR指令之外,該系統(tǒng)還可以執(zhí)行RT指令,該指令可以查詢包括身份證、姓名、聯系方式、常用旅客卡、同行旅客等在內的多種敏感信息。
而且,即使使用者不掌握任何旅客信息,僅僅通過航班號,就可以提取大部分旅客信息。記者以4月20、21日的數個國航航班測試,第一步通過RT指令調取該航班上姓名首字母相同的乘客列表信息以及相應的PNR編碼(6位訂座記錄編碼)。第二步,通過RT指令依次查詢PNR編碼,即可得到該PNR編碼對應的旅客姓名、聯系方式、身份證信息、團隊同行人、常用旅客卡等信息。
經記者測試,在僅僅知道國航航班號、日期的情況下,記者均成功提取到多個授權人的相應信息,其中包括了未出行航班信息、國際航班信息。需要指出,其中有授權人在最近一周內接到過機票退改簽詐騙,并且短信中個人信息均屬實。
一位經常研究黑色產業(yè)的安全行業(yè)人士告訴記者:“在有這個系統(tǒng)、指令的情況下,可以寫一個簡單腳本,通過機器不停查詢近期航班上的旅客信息,然后提取航班、行程目的地、姓名、身份證、旅客卡、聯系方式,通過這些信息編輯詐騙短信發(fā)送?!?/span>
在復現整個信息泄露的過程中,記者發(fā)現,此類泄露方式的門檻極低,除了1300元的購買成本之外,僅需支付 “海量搜索eTerm出租信息、加對方QQ、等待通過、溝通、安裝、學習指令”的時間成本,總計不足20小時。
違規(guī)賬號共享
需要指出,記者購買到的賬號,并非中航信系統(tǒng)中的真實賬號,而是來自于PID配置放大,將一個系統(tǒng)賬號拆分成數十個子賬號進行使用,每一個子賬號享有與母賬號相同的權限配置,而且子賬號之間數據互通。
eTerm問世不久之后,行業(yè)內就研發(fā)了此類放大軟件,一方面為代理人節(jié)省賬號購買成本,另一方面也大幅降低了代理人行業(yè)門檻,這使得代理商、代理人的隊伍迅速壯大。這種放大軟件時至今日依然被廣泛使用。
這種賬號體系的放大使用,成為數據泄露的主要渠道。
一個代理人放大出票賬號,意味著該母賬號下所有的訂票信息、旅客數據,獲取此類賬號同時也可以獲取通過該代理實時下單的旅客信息。而航司B系統(tǒng)的放大賬號,則意味著更多的數據、資料,如果能夠同時擁有幾大航司的B系統(tǒng)賬號,相當于可以隨時查詢絕大多數的旅客出行信息?!安糠峙c航空公司合作緊密的代理人擁有航司B系統(tǒng)賬號,員工也可能把賬號賣給信任的人”,一位航空公司人士告訴記者:“另一方面航空公司本身也有放大賬號的需求,賬號租賃費每年需要幾千萬。”
2016年4月,濟南市歷城區(qū)檢察院審理了一起“提供侵入計算機信息系統(tǒng)工具罪”,三名航空公司員工對外出售了上千個帶有RT指令的賬號,部分賬號每日提取數以千記的乘客信息,涉案人員均被刑事處罰。
2010年開始,中航信因為這種放大系統(tǒng)帶來的劣幣效應開始打擊第三方配置平臺,大量放大配置因此消失。但是,由于技術門檻較低,這種放大行為始終存在。
然而,記者致電中航信旗下子公司廣州航旅天空,該公司官網客服則表示:“我們也是根據航信放大的系統(tǒng),其他公司可能會被封,但我們的不會?!?/span>
記者電話咨詢中航信,經過多次溝通輾轉獲得宣傳部門電話,4月20日工作時間,記者8次撥打該電話均無人接聽。2016年10月,央視焦點訪談曾曝光中航信信息泄露,當時,中航信曾回應稱已經通過“清理外掛平臺”、“限制代理人權限”、“推廣賬號雙因素認證”、“賬號行為管理”等多種舉措保護旅客信息安全,并表示對違規(guī)行為堅決打擊。
多渠道泄露屢禁不止
需要指出,在前述授權查詢過程中,記者獲取身份證、姓名等信息均為真實信息,但只有不到一半的聯系方式為旅客真實電話,半數乘客的聯系方式為機票代理人電話,個別無法提取聯系方式。
“因為有很多代理人在提交訂單時,并不向航空公司提交客戶資料,擔心被我們搶客戶”,上述航空公司人士告訴記者:“雖然幾大航司都有要求代理人提交真實信息,但他們不遵守,也不好去嚴格處罰。”部分客戶資料掌握在OTA平臺、代理商手中,同樣存在泄露可能。事實上,由于用戶信息管理的混亂,以及多個潛在泄露渠道,部分航班信息泄露甚至無法定位泄露源頭。
2012年開始,國內機票退改簽電信詐騙事件開始爆發(fā),因為掌握了用戶的真實信息、且當時用戶對此類詐騙幾乎沒有防范心理,詐騙成功率極高。
此類詐騙在2015年前后進入高峰期,各大航空公司、OTA平臺因此被不斷投訴。
在此期間,OTA平臺相繼上線隱私保護政策。以阿里為例,阿里巴巴旗下阿里通信針對此類情形上線了“私密專線”,消費者購買機票時,機票代理人獲取的是虛擬手機號,該手機號僅支持代理人、消費者之間聯系,其他人獲取該手機號則無法使用。
同時,2015年中航信對代理人系統(tǒng)做出指令修改。2015年之前,代理人系統(tǒng)通過DETR指令可以查詢所有旅客的有效客票信息、對應證件號、預留聯系方式、常用旅客卡等信息;2015年之后,該指令權限大幅下調,僅可查詢在本賬號出票的旅客信息。但由于賬號放大存在,這種限制依然存在泄露風險。此外,上述航空公司人士告訴記者:“航司B系統(tǒng)沒有限制過,所有航司的賬號理論上都可以MLB、RT?!?/span>
2017年2月,中國民用航空局起草《民航網絡信息安全管理規(guī)定(暫行)(征求意見稿)》,其中第四十六條指出,“旅客信息或重要生產數據泄露,造成重大影響或經濟損失”時,民航行政管理機構應當啟動網絡信息安全事件調查。
此外,該文件第三十五條要求,民航各單位落實旅客信息保護制度,在“在發(fā)生或者可能發(fā)生旅客信息泄露時,應當立即采取補救措施”。不過,記者就上述購買到國航B系統(tǒng)事宜咨詢國航,國航并未回應記者。(來源:21世紀經濟報道 陳寶亮 甘星星)