剛剛預(yù)訂了航班,馬上就接到“航班因故取消”的電話,電話那頭,有人自稱航空公司的客服,并能準(zhǔn)確報(bào)出乘客的乘機(jī)信息———不少人因此掉以輕心,受騙上當(dāng)。
與此同時(shí),明星的航班信息公然在QQ群和微信等地,標(biāo)價(jià)叫賣。南都記者了解到,一條售價(jià)僅需7元。不光航班信息可售,明星的證件、護(hù)照及手機(jī)號(hào)碼亦可打包出售。近日,南都記者調(diào)查發(fā)現(xiàn),乘客航班信息的安全隱患依然存在,以很低的成本就能查詢到旅客的基本信息。
其中,曾于2016年10月被央視《焦點(diǎn)訪談》點(diǎn)名曝光的中航信系統(tǒng),事后并沒(méi)有徹底堵住漏洞,網(wǎng)上依然有不少不法商家公開(kāi)出租中航信的民航旅客訂座系統(tǒng)(ETERM系統(tǒng)),有的聲稱只要500元便可買5萬(wàn)個(gè)流量,可查詢包括部分航空公司的旅客出行記錄等。
4月19日下午5時(shí),南都記者與同伴兩人通過(guò)攜程商旅訂了深圳航空航班號(hào)為ZH 9443航班,從廣州飛往四川,機(jī)票價(jià)格為1510/人。當(dāng)天下午5時(shí)30分,通過(guò)該系統(tǒng),南都記者順利檢索到了自己和同行者的相關(guān)信息。
中航信對(duì)南都記者回應(yīng)稱,依規(guī)發(fā)放給機(jī)票代理人的系統(tǒng)配置和權(quán)限,僅能查詢自身銷售的客票信息和其他人授權(quán)的客票信息,即使通過(guò)某種軟件所分出的賬號(hào)也只能查詢自身客票信息。
加盟代理明星航班5元出售
4月19日,小北(化名)發(fā)布微博稱,朋友在某知名商旅網(wǎng)站訂購(gòu)兩張機(jī)票,最終信息外泄,導(dǎo)致被騙一萬(wàn)多元。小北告訴南都記者,對(duì)方自稱航空公司客服要求改簽,由于對(duì)方能準(zhǔn)確報(bào)出具體的航班信息,朋友因此上當(dāng)。
與小北的朋友一樣,收到過(guò)類似航班詐騙短信的人并不少。
南都記者調(diào)查發(fā)現(xiàn),要想獲得某一乘客的航班信息并不難,7元就可買到明星的航班信息。4月20日,南都記者以“航班信息”等關(guān)鍵詞進(jìn)行搜索,發(fā)現(xiàn)在微博、QQ群和微信上,不少人貼出明星的航班信息。
4月20日,南都記者加入一個(gè)名為“明星航班早知道”的QQ群。群里不時(shí)會(huì)貼出最近的明星航班,包括起降時(shí)間、往返地點(diǎn)等。
南都記者在該群聯(lián)系了一個(gè)名為“妧小小”的商家。隨后,“妧小小”讓南都記者加微信“A妧小小”。
南都記者發(fā)現(xiàn),在她的QQ空間和微信朋友圈里有大量明星航班信息,其中介紹稱,你想要的都有,包括明星航班微信……證件護(hù)照手機(jī)號(hào)可單買可打包,平均幾毛一個(gè),還教查詢航班的方法,國(guó)內(nèi)國(guó)外都可以。
“妧小小”還在朋友圈發(fā)文介紹:“120元大包帶走鹿晗[微博]微信+護(hù)照+微博小號(hào)”,平均一個(gè)40元。
“妧小小”告訴南都記者,收費(fèi)標(biāo)準(zhǔn)一般按照查詢的難易程度來(lái)定。“如果難查就是10元,不難查就是7元”。“妧小小”說(shuō),“今天有人查過(guò)張信哲[微博]的航班信息,收費(fèi)20元”。
她向南都記者發(fā)來(lái)幾張圖片,顯示查詢可以精確到選座信息。圖片顯示,幾天后(涉及當(dāng)事人隱私,故隱去,下同)從義烏飛往北京的航班上,張信哲的選座信息顯示為“未選座”。
不僅國(guó)內(nèi)明星,國(guó)外明星的航班信息也可利用護(hù)照查詢。“迪瑪希的航班有點(diǎn)棘手,如果問(wèn)內(nèi)部人員可能要貴一點(diǎn),收費(fèi)18元。”“妧小小”向南都記者傳來(lái)的一張圖片顯示,迪瑪希幾天后的早上8點(diǎn)05分,將乘坐南航某航班,從長(zhǎng)沙出發(fā),9點(diǎn)50分抵達(dá)西安。
值得一提的是,除了航班信息之外,“妧小小”也出售明星證件、護(hù)照、手機(jī)號(hào)、微信甚至微博小號(hào)等信息,每個(gè)售價(jià)50元。
“妧小小”告訴南都記者,自己正在招代理。如果成為她的代理,拿明星證件、手機(jī)號(hào)、微信和護(hù)照只需要25元,航班信息5元即可。
“你宣傳好,自然會(huì)賺很多,顧客多的話一個(gè)月幾千,一天幾百元。”
在交了50元代理費(fèi)后,南都記者成為“妧小小”的下線。她發(fā)來(lái)一段入門必知內(nèi)容,聲稱剛?cè)胄械娜藛T記得要去微博、貼吧、QQ等宣傳招攬顧客,不能偷懶。每出單一次就要在朋友圈里發(fā)一次,增加信譽(yù)度。同時(shí),她還提醒入這行就該懂得和顧客說(shuō)話。比如,當(dāng)顧客詢問(wèn)怎么拿到明星微信時(shí),應(yīng)該這樣回答,“我們?nèi)飼?huì)有專門的人查詢。”當(dāng)問(wèn)及怎么保證是真的,可以這么回復(fù),“圈子里很多同行都認(rèn)定的我們才賣。”
“妧小小”總結(jié),“做微商就是要精明,不可以感情用事,也不可以怕事,為了賣出商品有時(shí)候適當(dāng)用些手段,比如夸大說(shuō)辭等”。
多個(gè)渠道成為信息泄露源
那么,乘客的航班信息是如何泄露出去的呢?多名民航業(yè)內(nèi)人士告訴南都記者,信息泄露的根源在航班訂位系統(tǒng)。
國(guó)內(nèi)航空專家林智杰稱,由于現(xiàn)在國(guó)內(nèi)各大航空公司的訂票系統(tǒng),除春秋航空外,基本都使用的是中國(guó)民航信息集團(tuán)公司(簡(jiǎn)稱中航信)的系統(tǒng),旅客的航班等信息也均在系統(tǒng)中儲(chǔ)存。所以,有權(quán)限查看并有可能泄露信息的主要有四大類人群。
第一種是機(jī)票代理商,比如一些知名商旅網(wǎng)站的相關(guān)工作人員,能夠通過(guò)中航信發(fā)放的代理商賬號(hào)查到乘客信息。這種方法能查詢到的主要是通過(guò)代理商渠道購(gòu)買機(jī)票的乘機(jī)人信息。
第二種是航空公司的工作人員,主要包括營(yíng)銷部門的經(jīng)理主管、地服、值機(jī)、安檢人員等。這類工作人員能查詢到的是購(gòu)買所在航空公司機(jī)票的乘機(jī)人信息。
第三種是中航信工作人員。由于全國(guó)絕大多數(shù)航空公司的乘機(jī)人信息都會(huì)在中航信系統(tǒng)中存儲(chǔ),中航信的相關(guān)工作人員能查詢到絕大多數(shù)旅客的個(gè)人信息。
最后一種比較特殊,即一些黑客利用員工密碼或系統(tǒng)漏洞進(jìn)入中航信系統(tǒng)并查詢信息。
公開(kāi)資料顯示,無(wú)論是在國(guó)內(nèi)哪個(gè)訂票網(wǎng)站或航空公司官網(wǎng)訂票,出行者的個(gè)人信息都會(huì)被提供給國(guó)內(nèi)最大的機(jī)票分銷系統(tǒng)服務(wù)提供商———中航信。中航信開(kāi)發(fā)的機(jī)票銷售系統(tǒng)可以進(jìn)行查詢、預(yù)訂、出票和退改簽等操作。
南都記者了解到,中航信信息系統(tǒng),是中航信面向航空公司、機(jī)場(chǎng)、機(jī)票銷售代理等機(jī)構(gòu),提供航空客運(yùn)業(yè)務(wù)、航空旅游電子分銷、機(jī)場(chǎng)旅客處理等業(yè)務(wù)的信息平臺(tái)。該信息系統(tǒng)主要包括核心網(wǎng)絡(luò)、電子客票系統(tǒng)、民航旅客訂座系統(tǒng)(ETER M系統(tǒng))、離港控制系統(tǒng)。其中民航旅客訂座系統(tǒng)(ETER M系統(tǒng))又包含代理人分銷系統(tǒng)(C R S系統(tǒng),簡(jiǎn)稱C系統(tǒng))、航班控制系統(tǒng)(ICS系統(tǒng),簡(jiǎn)稱B系統(tǒng))。B系統(tǒng)可以提供的信息相對(duì)較多,不僅可以查到大量航班的座位預(yù)訂情況和實(shí)際出票量,還包括航班上的訂位編碼(PN R),乘客的航班、座位、艙位、價(jià)格、姓名、身份證、電話號(hào)碼等信息均在其中。
通常,中航信只會(huì)發(fā)給經(jīng)銷商一個(gè)賬號(hào),但經(jīng)銷商可以通過(guò)某軟件分出若干個(gè)登錄小號(hào)。這套軟件任何人都可以下載,下載安裝之后,只要有登錄賬號(hào)就可以訪問(wèn)中航信的數(shù)據(jù)庫(kù)。
也就是說(shuō),有了這些賬號(hào)就等于拿到了打開(kāi)航班信息庫(kù)的鑰匙,也就可以獲取旅客的航班信息。這讓中航信旅客信息泄露問(wèn)題屢遭詬病。
一位業(yè)內(nèi)人士稱,早在幾年前,他就曾通過(guò)網(wǎng)頁(yè)下載E T E R M軟件,當(dāng)時(shí)任何人都可以隨便查看航班信息。每當(dāng)有熱點(diǎn)人物出現(xiàn)時(shí),他有時(shí)會(huì)隨手搜索一下,比如當(dāng)郭美美炫富時(shí),他就查了她的航班信息,了解到她與媽媽一同出行。“那個(gè)時(shí)候真是隨便看。”其稱,大概在三四年前,該系統(tǒng)被中航信部分屏蔽,現(xiàn)在只有賬號(hào)權(quán)限較高的人才可以看到所有信息。
500元可買到代理人賬號(hào)
盡管如此,還是有服務(wù)商有路可循。其中俗稱“黑屏系統(tǒng)”的民航旅客訂座系統(tǒng)(ET ER M系統(tǒng))便常被不法分子違規(guī)利用。
南都記者調(diào)查發(fā)現(xiàn),在網(wǎng)上存在大量出租中航信查詢賬號(hào)的廣告,聲稱可以“提取航班信息”、“查詢明星行蹤”。
南都記者在網(wǎng)上以“E T E R M系統(tǒng)出租”等關(guān)鍵字進(jìn)行搜索,聯(lián)系上一名服務(wù)商,其聲稱500元便可買5萬(wàn)個(gè)流量,可查詢包括部分航司的旅客信息、具體旅客的出行記錄等。
除了出租系統(tǒng)賬號(hào)以外,南都記者調(diào)查發(fā)現(xiàn),有一些服務(wù)商更是直接出售旅客信息。一名名為“cc”服務(wù)商告訴南都記者,自己使用的是航司B系統(tǒng)原始配置,“身份證、票號(hào)、電話都有”,7元一條,50條起售。為了讓南都記者信服,“cc”還貼出與多名客人交易的截圖,有的人要求“早上的數(shù)據(jù)要50條,晚上的數(shù)據(jù)要50條”。
一名服務(wù)商甚至在微信朋友圈中貼出鄧超[微博]2016年的多條出行記錄來(lái)招攬生意。截圖顯示,其中一條行程是2016年3月的一天,從上海飛往廈門,而南都記者搜索發(fā)現(xiàn),當(dāng)日,鄧超確實(shí)到達(dá)廈門機(jī)場(chǎng)為“跑男”錄制了節(jié)目。
從一名曾在此購(gòu)買賬號(hào)、密碼的知情人手中,南都記者得到了一組賬號(hào)密碼,隨后成功在中航信官方網(wǎng)頁(yè)下載的E T E R M軟件登錄。
記者親測(cè)查到同事航班記錄
南都記者了解ET ERM查詢語(yǔ)言得知,通過(guò)輸入不同的指令,系統(tǒng)可以搜索出不同信息。如通過(guò)相關(guān)指令查詢指定身份證號(hào),可得出指定對(duì)象在半年內(nèi)部分航司的出行記錄以及對(duì)應(yīng)票號(hào);而通過(guò)輸入具體日期等某一班次航班以及顧客姓氏的開(kāi)頭字母,可提取該航班的符合條件的所有顧客信息以及PN R編碼(旅客訂座記錄);再輸入另一個(gè)指令查詢PN R編碼,旅客的姓名、身份證信息、訂票電話甚至常用銀行卡號(hào),則全部暴露無(wú)遺。
不同指令查詢到的內(nèi)容通過(guò)交叉檢索,便可得到更多信息。
也就是說(shuō),只要擁有足夠的權(quán)限,只要在一個(gè)隨機(jī)航班里選擇某名張姓乘客,就可以查出其身份證信息,從而得到他的出行記錄。
南都記者測(cè)試發(fā)現(xiàn),該賬號(hào)只能查詢到部分航空公司以及半年內(nèi)的出行記錄。在多名同事的授權(quán)下,記者以身份證號(hào)在系統(tǒng)上進(jìn)行查詢,符合條件者均出現(xiàn)了對(duì)應(yīng)的航班記錄。
值得一提的是,南都記者親測(cè),剛買的航班信息也可以在該系統(tǒng)上查詢。
4月19日下午5時(shí),南都記者與同伴兩人通過(guò)攜程商旅訂了深圳航空航班號(hào)為ZH 9443航班,從廣州飛往四川,機(jī)票價(jià)格為1510元/人。當(dāng)天下午5時(shí)30分,通過(guò)該系統(tǒng)相關(guān)指令查詢這趟航班的相關(guān)姓氏,系統(tǒng)上直接出現(xiàn)了南都記者與一起訂票同伴的姓名與身份證號(hào),還有一個(gè)電話號(hào)碼。
南都記者嘗試撥打該電話,了解到對(duì)方是在某旅游平臺(tái)負(fù)責(zé)訂票業(yè)務(wù)的工作人員何先生。他稱,當(dāng)顧客向平臺(tái)提交訂單信息后,他們可以看到姓名、身份證或護(hù)照等信息。在幫顧客訂完票后,他們需要將航空公司發(fā)送的航班信息進(jìn)行編輯,然后轉(zhuǎn)給顧客,而其中不存在泄露信息的情況。
相反,何先生稱,自己經(jīng)常接到騷擾電話,有時(shí)一天十幾個(gè)電話,包括保險(xiǎn)、買房和理財(cái)?shù)?。?dāng)南都記者告知,他的電話號(hào)碼出現(xiàn)在航班信息查詢系統(tǒng)中時(shí),何先生表示很驚訝。
那么,這些服務(wù)商所能提供的代理賬號(hào)又來(lái)自哪里呢?
南都記者查閱裁判文書網(wǎng)了解到,2015年12月,山東省濟(jì)南市歷城區(qū)人民法院曾審理一起案件。2013年11月,原系中航信職工的高某某將其掌握的B系統(tǒng)賬號(hào)私自提供給多人使用,使他們可以查詢B系統(tǒng)內(nèi)的數(shù)據(jù)信息。高某某因此獲利203066元。
判決書顯示,高某某一審因提供專門用于侵入計(jì)算機(jī)信息系統(tǒng)工具罪,被判處有期徒刑三年,緩刑五年,并處罰金八萬(wàn)元。
公司回應(yīng)
中航信:代理人僅能查詢自身銷票和他人授權(quán)信息
針對(duì)航空乘客信息泄露問(wèn)題,4月20日,中航信方面向南都記者回應(yīng),中航信依規(guī)發(fā)放給機(jī)票代理人的系統(tǒng)配置和權(quán)限,僅能查詢自身銷售的客票信息和其他人授權(quán)的客票信息,即使通過(guò)某種軟件所分出的賬號(hào)也只能查詢自身客票信息。
此外,根據(jù)相關(guān)規(guī)定,中航信在向代理人發(fā)放系統(tǒng)配置和權(quán)限之前,與其簽訂有明確的使用協(xié)議,規(guī)定代理人不得擅自使用未認(rèn)證的設(shè)備或產(chǎn)品接入中國(guó)航信系統(tǒng),不得向自己工作人員之外的人員提供中國(guó)航信的系統(tǒng)配置和權(quán)限,不得利用配置和權(quán)限進(jìn)入中國(guó)航信系統(tǒng)或使用銷售服務(wù)來(lái)獲取系統(tǒng)中數(shù)據(jù)。
中航信相關(guān)工作人員也表示,早在2010年,中航信就針對(duì)代理人利用外掛平臺(tái)的行為進(jìn)行了堅(jiān)決的清理,違規(guī)行為得到了有效控制,這類外掛平臺(tái)其中一個(gè)重要的功能就是將中國(guó)航信發(fā)放給中航協(xié)所批準(zhǔn)的機(jī)票代理人(經(jīng)銷商)的配置和權(quán)限違規(guī)分出若干個(gè)登錄賬號(hào),對(duì)外提供機(jī)票銷售和服務(wù)。
4月20日,攜程方面則對(duì)南都記者表示,攜程機(jī)票業(yè)務(wù)及信息安全部門監(jiān)管嚴(yán)格,會(huì)定期反復(fù)排查,目前沒(méi)有任何證據(jù)顯示客戶信息泄露與攜程有關(guān)。
該工作人員同時(shí)稱,攜程內(nèi)部有嚴(yán)格的安全控制措施,客戶信息的傳輸和保存始終處于加密狀態(tài),任何未經(jīng)授權(quán)的人員都無(wú)法取得這些資料。
維權(quán)困境
顧客面臨取證難難證明泄露源頭
南都記者注意到,此前針對(duì)信息泄露問(wèn)題,消費(fèi)者和航空公司也曾“對(duì)簿公堂”。
2013年,李某通過(guò)四川航空公司(下稱“川航”)官方服務(wù)電話購(gòu)買機(jī)票后,被詐騙短信通知航班取消,在未核實(shí)的情況下重新購(gòu)買機(jī)票。之后,李某一紙?jiān)V狀將川航以“信息泄露”為由告上法庭。
對(duì)此,川航解釋稱,自2005年起,川航便與中航信簽約,由中航信代為提供航班控制系統(tǒng)服務(wù)、計(jì)算機(jī)分銷系統(tǒng)服務(wù)、民航商務(wù)數(shù)據(jù)網(wǎng)絡(luò)服務(wù)和訂座系統(tǒng)延伸服務(wù)。因而,川航所收集的旅客信息都會(huì)錄入該系統(tǒng)中,但無(wú)法對(duì)這些信息在傳遞、使用過(guò)程中的安全直接進(jìn)行有效監(jiān)控。
川航表示,在短信詐騙頻發(fā)時(shí)期,全國(guó)各大航空公司均有涉及此類詐騙案例,唯有不使用中航信公司訂票系統(tǒng)的秋航空未有涉及。李某航班信息泄露可能是訂票系統(tǒng)的環(huán)節(jié)出現(xiàn)了問(wèn)題,被不法分子利用。
北京志霖律師事務(wù)所副主任、中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)研究中心特約研究員趙占領(lǐng)律師告訴南都記者,類似乘客航班信息被泄露的事情很多,但是由于取證難的問(wèn)題,很少有人進(jìn)行起訴。因?yàn)檎莆招畔⒌闹黧w,包括航空公司、代理商、在線訂購(gòu)網(wǎng)站、中航信等,很難證明究竟是從哪里泄露信息的。
趙占領(lǐng)說(shuō),消費(fèi)者能做的非常有限,就是提高警惕性,增強(qiáng)防騙意識(shí)。比如別訪問(wèn)釣魚(yú)網(wǎng)站,遇到航班取消的客服電話,最好再打電話給官方客服確認(rèn)。他提醒,盡管顯示的號(hào)碼可能是航空公司,但是號(hào)碼可以通過(guò)改號(hào)軟件修改,所以需要反復(fù)確認(rèn)。
攜程相關(guān)工作人員告訴南都記者,客人在預(yù)訂機(jī)票后,可以使用訂票軟件查詢準(zhǔn)確的航班信息,減小被詐騙的幾率,如果收到詐騙短信,應(yīng)立即報(bào)警。
南都記者查詢國(guó)務(wù)院法制信息辦看到,中國(guó)民用航空局于今年2月21日起草了《民航網(wǎng)絡(luò)信息安全管理劃定(暫行)(征求意見(jiàn)稿)》。根據(jù)國(guó)內(nèi)民航發(fā)展的實(shí)際情況,從制度和技術(shù)層面對(duì)旅客信息保護(hù)加以規(guī)定,主要包括旅客信息保護(hù)制度、收集使用旅客信息的規(guī)定以及旅客信息轉(zhuǎn)移或委托的規(guī)定。
針對(duì)“退改簽詐騙”、“航空詐騙”等頻發(fā)問(wèn)題,規(guī)定指出:民航各單位應(yīng)當(dāng)制定旅客信息保護(hù)軌制,對(duì)在提供服務(wù)過(guò)程中收集、使用的旅客信息,應(yīng)當(dāng)采取相應(yīng)措施嚴(yán)格保護(hù),不得泄露、篡改或者毀損,不得出售或者非法向他人提供。在發(fā)生或者可能發(fā)生旅客信息泄露時(shí),應(yīng)當(dāng)立刻采取補(bǔ)救措施。規(guī)定同時(shí)強(qiáng)調(diào),民航各單位將旅客信息轉(zhuǎn)移或委托給其他組織或機(jī)構(gòu)使用的,應(yīng)當(dāng)簽訂旅客信息保護(hù)協(xié)議,明確旅客信息使用范圍和保護(hù)責(zé)任。