陆航空公司曝系统漏洞 旅客信息被贩卖

【新唐人2015年1月31日讯】中国新年将至,中国多个航空公司被披露出,涉及旅客个人信息被泄露的消息。包括旅客姓名、航班信息、身份证号等信息,这些信息到每条至少被卖20元人民币,每天,这样的新数据有600——800条被卖出。这些信息还可成为退改签的诈骗简讯。

30日,中国新闻网转载京华时报的报导,称在乌云网上看到,仅1月29日当天,就有5条涉及航空公司的漏洞得到公司确认,内容涉及航空公司B2C系统沦陷,千万机票信息可以查看。

民航出入境API系统逻辑缺陷,导致出入境实时数据泄露,航空公司内部员工邮箱账号和密码泄露,可登录公司内部邮件系统。

该漏洞可导致客户,预付卡6位数字密码可爆解码,旅客姓名、身份证号、手机号码可能泄露。

乌云网创始人之一孟卓告诉记者,这个漏洞的细节还未进入到公开流程,处于保密阶段。但该漏洞可能会导致预付卡中的钱被盗取。不只是东航系统沦陷,在乌云公布的已被企业确认的系统漏洞中,还包括厦门、上海航空以及值机常用的APP软体航旅纵横等。

乌云漏洞报告指出,厦门航空B2B管理系统沦陷,可查任意乘客机票信息、修改任意代理机构密码、添加代理商等。

厦门航空则回应称,该系统为旧系统,里面的旅客信息是其他航空公司的信息,其公司已经两年不用该系统。

东航方面回应称,预付卡系统并无漏洞,乌云的“白帽子”工程师采取了暴力攻击的方式才进入系统。目前东航已经采取了安全强化措施对系统进行了加固用户账户是安全的。

不过,报导说,乌云“白帽子”“路人甲”可以识别计算机系统或网路系统中的安全漏洞,但没有恶意去利用,而是公布了“东方航空预付费卡系统沦陷”的漏洞。

个人关键信息每条卖20元

用户账户到底是不是安全的?报导说,不久前,金女士订了东航从北京飞往武汉的机票,在起飞的前一晚,她收到了一条署名为“东方航空”的提示简讯。

信中说:“尊敬的金女士,您预订的1月24日08:05北京-武汉航班由于机械故障不能起飞已取消,敬请谅解!请及时联系客服400-0335771办理改签或退票。退票和改签额外补偿200元,改签收取20元工本费。”

这样的诈骗简讯中的旅客信息是从哪来的?

乌云网的一位资深“白帽子”告诉记者,为了搞清所泄露的旅客个人信息究竟怎样变成逼真的退改签诈骗简讯,他专门假扮买家购买信息,从黑产数据贩子手中看到了旅客信息是交易的重点。

交易数据显示,旅客姓名、航空公司、航班信息、起降时间、身份证号、手机号、票号信息应有尽有。而这样的信息每条售价高达20元。

这些没有起飞的航班信息数据,才有做黑色产业链的价值,多家数据贩子给出的价格每条都在20元以上,23元、25元一条的也有。每天,这样的新数据有600——800条被卖出。

网路安全专家赵占领认为,航空公司、票代、网际网路售票平台都拥有旅客个人信息,信息泄露的原因可能是有内鬼盗取数据,也有可能是系统受到黑客攻击。

他说,个人数据泄露一直难以杜绝,因为涉及环节较多,不好发现问题出在哪里。另外,违法成本低,维权很难。如果走民事途径,不知道该起诉谁,如果走刑事途径,要揪出内鬼或黑客,否则不能立案。

相关文章
评论
新版即将上线。评论功能暂时关闭。请见谅!