剛剛預(yù)訂了航班，馬上就接到“航班因故取消”的電話，電話那頭，有人自稱航空公司的客服，并能準(zhǔn)確報(bào)出乘客的乘機(jī)信息———不少人因此掉以輕心，受騙上當(dāng)。

與此同時(shí)，明星的航班信息公然在QQ群和微信等地，標(biāo)價(jià)叫賣。南都記者了解到，一條售價(jià)僅需7元。不光航班信息可售，明星的證件、護(hù)照及手機(jī)號(hào)碼亦可打包出售。近日，南都記者調(diào)查發(fā)現(xiàn)，乘客航班信息的安全隱患依然存在，以很低的成本就能查詢到旅客的基本信息。

其中，曾于2016年10月被央視《焦點(diǎn)訪談》點(diǎn)名曝光的中航信系統(tǒng)，事后并沒(méi)有徹底堵住漏洞，網(wǎng)上依然有不少不法商家公開(kāi)出租中航信的民航旅客訂座系統(tǒng)（ETERM系統(tǒng)），有的聲稱只要500元便可買5萬(wàn)個(gè)流量，可查詢包括部分航空公司的旅客出行記錄等。

4月19日下午5時(shí)，南都記者與同伴兩人通過(guò)攜程商旅訂了深圳航空航班號(hào)為ZH 9443航班，從廣州飛往四川，機(jī)票價(jià)格為1510/人。當(dāng)天下午5時(shí)30分，通過(guò)該系統(tǒng)，南都記者順利檢索到了自己和同行者的相關(guān)信息。

中航信對(duì)南都記者回應(yīng)稱，依規(guī)發(fā)放給機(jī)票代理人的系統(tǒng)配置和權(quán)限，僅能查詢自身銷售的客票信息和其他人授權(quán)的客票信息，即使通過(guò)某種軟件所分出的賬號(hào)也只能查詢自身客票信息。

　　加盟代理明星航班5元出售

4月19日，小北（化名）發(fā)布微博稱，朋友在某知名商旅網(wǎng)站訂購(gòu)兩張機(jī)票，最終信息外泄，導(dǎo)致被騙一萬(wàn)多元。小北告訴南都記者，對(duì)方自稱航空公司客服要求改簽，由于對(duì)方能準(zhǔn)確報(bào)出具體的航班信息，朋友因此上當(dāng)。

與小北的朋友一樣，收到過(guò)類似航班詐騙短信的人并不少。

南都記者調(diào)查發(fā)現(xiàn)，要想獲得某一乘客的航班信息并不難，7元就可買到明星的航班信息。4月20日，南都記者以“航班信息”等關(guān)鍵詞進(jìn)行搜索，發(fā)現(xiàn)在微博、QQ群和微信上，不少人貼出明星的航班信息。

4月20日，南都記者加入一個(gè)名為“明星航班早知道”的QQ群。群里不時(shí)會(huì)貼出最近的明星航班，包括起降時(shí)間、往返地點(diǎn)等。

南都記者在該群聯(lián)系了一個(gè)名為“妧小小”的商家。隨后，“妧小小”讓南都記者加微信“A妧小小”。

南都記者發(fā)現(xiàn)，在她的QQ空間和微信朋友圈里有大量明星航班信息，其中介紹稱，你想要的都有，包括明星航班微信……證件護(hù)照手機(jī)號(hào)可單買可打包，平均幾毛一個(gè)，還教查詢航班的方法，國(guó)內(nèi)國(guó)外都可以。

“妧小小”還在朋友圈發(fā)文介紹：“120元大包帶走鹿晗[微博]微信+護(hù)照+微博小號(hào)”，平均一個(gè)40元。

“妧小小”告訴南都記者，收費(fèi)標(biāo)準(zhǔn)一般按照查詢的難易程度來(lái)定。“如果難查就是10元，不難查就是7元”。“妧小小”說(shuō)，“今天有人查過(guò)張信哲[微博]的航班信息，收費(fèi)20元”。

她向南都記者發(fā)來(lái)幾張圖片，顯示查詢可以精確到選座信息。圖片顯示，幾天后（涉及當(dāng)事人隱私，故隱去，下同）從義烏飛往北京的航班上，張信哲的選座信息顯示為“未選座”。

不僅國(guó)內(nèi)明星，國(guó)外明星的航班信息也可利用護(hù)照查詢。“迪瑪希的航班有點(diǎn)棘手，如果問(wèn)內(nèi)部人員可能要貴一點(diǎn)，收費(fèi)18元。”“妧小小”向南都記者傳來(lái)的一張圖片顯示，迪瑪希幾天后的早上8點(diǎn)05分，將乘坐南航某航班，從長(zhǎng)沙出發(fā)，9點(diǎn)50分抵達(dá)西安。

值得一提的是，除了航班信息之外，“妧小小”也出售明星證件、護(hù)照、手機(jī)號(hào)、微信甚至微博小號(hào)等信息，每個(gè)售價(jià)50元。

“妧小小”告訴南都記者，自己正在招代理。如果成為她的代理，拿明星證件、手機(jī)號(hào)、微信和護(hù)照只需要25元，航班信息5元即可。

“你宣傳好，自然會(huì)賺很多，顧客多的話一個(gè)月幾千，一天幾百元。”

在交了50元代理費(fèi)后，南都記者成為“妧小小”的下線。她發(fā)來(lái)一段入門必知內(nèi)容，聲稱剛?cè)胄械娜藛T記得要去微博、貼吧、QQ等宣傳招攬顧客，不能偷懶。每出單一次就要在朋友圈里發(fā)一次，增加信譽(yù)度。同時(shí)，她還提醒入這行就該懂得和顧客說(shuō)話。比如，當(dāng)顧客詢問(wèn)怎么拿到明星微信時(shí)，應(yīng)該這樣回答，“我們?nèi)飼?huì)有專門的人查詢。”當(dāng)問(wèn)及怎么保證是真的，可以這么回復(fù)，“圈子里很多同行都認(rèn)定的我們才賣。”

“妧小小”總結(jié)，“做微商就是要精明，不可以感情用事，也不可以怕事，為了賣出商品有時(shí)候適當(dāng)用些手段，比如夸大說(shuō)辭等”。

　多個(gè)渠道成為信息泄露源

那么，乘客的航班信息是如何泄露出去的呢？多名民航業(yè)內(nèi)人士告訴南都記者，信息泄露的根源在航班訂位系統(tǒng)。

國(guó)內(nèi)航空專家林智杰稱，由于現(xiàn)在國(guó)內(nèi)各大航空公司的訂票系統(tǒng)，除春秋航空外，基本都使用的是中國(guó)民航信息集團(tuán)公司（簡(jiǎn)稱中航信）的系統(tǒng)，旅客的航班等信息也均在系統(tǒng)中儲(chǔ)存。所以，有權(quán)限查看并有可能泄露信息的主要有四大類人群。

第一種是機(jī)票代理商，比如一些知名商旅網(wǎng)站的相關(guān)工作人員，能夠通過(guò)中航信發(fā)放的代理商賬號(hào)查到乘客信息。這種方法能查詢到的主要是通過(guò)代理商渠道購(gòu)買機(jī)票的乘機(jī)人信息。

第二種是航空公司的工作人員，主要包括營(yíng)銷部門的經(jīng)理主管、地服、值機(jī)、安檢人員等。這類工作人員能查詢到的是購(gòu)買所在航空公司機(jī)票的乘機(jī)人信息。

第三種是中航信工作人員。由于全國(guó)絕大多數(shù)航空公司的乘機(jī)人信息都會(huì)在中航信系統(tǒng)中存儲(chǔ)，中航信的相關(guān)工作人員能查詢到絕大多數(shù)旅客的個(gè)人信息。

最后一種比較特殊，即一些黑客利用員工密碼或系統(tǒng)漏洞進(jìn)入中航信系統(tǒng)并查詢信息。

公開(kāi)資料顯示，無(wú)論是在國(guó)內(nèi)哪個(gè)訂票網(wǎng)站或航空公司官網(wǎng)訂票，出行者的個(gè)人信息都會(huì)被提供給國(guó)內(nèi)最大的機(jī)票分銷系統(tǒng)服務(wù)提供商———中航信。中航信開(kāi)發(fā)的機(jī)票銷售系統(tǒng)可以進(jìn)行查詢、預(yù)訂、出票和退改簽等操作。

南都記者了解到，中航信信息系統(tǒng)，是中航信面向航空公司、機(jī)場(chǎng)、機(jī)票銷售代理等機(jī)構(gòu)，提供航空客運(yùn)業(yè)務(wù)、航空旅游電子分銷、機(jī)場(chǎng)旅客處理等業(yè)務(wù)的信息平臺(tái)。該信息系統(tǒng)主要包括核心網(wǎng)絡(luò)、電子客票系統(tǒng)、民航旅客訂座系統(tǒng)（ETER M系統(tǒng)）、離港控制系統(tǒng)。其中民航旅客訂座系統(tǒng)（ETER M系統(tǒng)）又包含代理人分銷系統(tǒng)（C R S系統(tǒng)，簡(jiǎn)稱C系統(tǒng)）、航班控制系統(tǒng)（ICS系統(tǒng)，簡(jiǎn)稱B系統(tǒng)）。B系統(tǒng)可以提供的信息相對(duì)較多，不僅可以查到大量航班的座位預(yù)訂情況和實(shí)際出票量，還包括航班上的訂位編碼（PN R），乘客的航班、座位、艙位、價(jià)格、姓名、身份證、電話號(hào)碼等信息均在其中。

通常，中航信只會(huì)發(fā)給經(jīng)銷商一個(gè)賬號(hào)，但經(jīng)銷商可以通過(guò)某軟件分出若干個(gè)登錄小號(hào)。這套軟件任何人都可以下載，下載安裝之后，只要有登錄賬號(hào)就可以訪問(wèn)中航信的數(shù)據(jù)庫(kù)。

也就是說(shuō)，有了這些賬號(hào)就等于拿到了打開(kāi)航班信息庫(kù)的鑰匙，也就可以獲取旅客的航班信息。這讓中航信旅客信息泄露問(wèn)題屢遭詬病。

一位業(yè)內(nèi)人士稱，早在幾年前，他就曾通過(guò)網(wǎng)頁(yè)下載E T E R M軟件，當(dāng)時(shí)任何人都可以隨便查看航班信息。每當(dāng)有熱點(diǎn)人物出現(xiàn)時(shí)，他有時(shí)會(huì)隨手搜索一下，比如當(dāng)郭美美炫富時(shí)，他就查了她的航班信息，了解到她與媽媽一同出行。“那個(gè)時(shí)候真是隨便看。”其稱，大概在三四年前，該系統(tǒng)被中航信部分屏蔽，現(xiàn)在只有賬號(hào)權(quán)限較高的人才可以看到所有信息。

　　500元可買到代理人賬號(hào)

盡管如此，還是有服務(wù)商有路可循。其中俗稱“黑屏系統(tǒng)”的民航旅客訂座系統(tǒng)（ET ER M系統(tǒng)）便常被不法分子違規(guī)利用。

南都記者調(diào)查發(fā)現(xiàn)，在網(wǎng)上存在大量出租中航信查詢賬號(hào)的廣告，聲稱可以“提取航班信息”、“查詢明星行蹤”。

南都記者在網(wǎng)上以“E T E R M系統(tǒng)出租”等關(guān)鍵字進(jìn)行搜索，聯(lián)系上一名服務(wù)商，其聲稱500元便可買5萬(wàn)個(gè)流量，可查詢包括部分航司的旅客信息、具體旅客的出行記錄等。

除了出租系統(tǒng)賬號(hào)以外，南都記者調(diào)查發(fā)現(xiàn)，有一些服務(wù)商更是直接出售旅客信息。一名名為“cc”服務(wù)商告訴南都記者，自己使用的是航司B系統(tǒng)原始配置，“身份證、票號(hào)、電話都有”，7元一條，50條起售。為了讓南都記者信服，“cc”還貼出與多名客人交易的截圖，有的人要求“早上的數(shù)據(jù)要50條，晚上的數(shù)據(jù)要50條”。

一名服務(wù)商甚至在微信朋友圈中貼出鄧超[微博]2016年的多條出行記錄來(lái)招攬生意。截圖顯示，其中一條行程是2016年3月的一天，從上海飛往廈門，而南都記者搜索發(fā)現(xiàn)，當(dāng)日，鄧超確實(shí)到達(dá)廈門機(jī)場(chǎng)為“跑男”錄制了節(jié)目。

從一名曾在此購(gòu)買賬號(hào)、密碼的知情人手中，南都記者得到了一組賬號(hào)密碼，隨后成功在中航信官方網(wǎng)頁(yè)下載的E T E R M軟件登錄。

　　記者親測(cè)查到同事航班記錄

南都記者了解ET ERM查詢語(yǔ)言得知，通過(guò)輸入不同的指令，系統(tǒng)可以搜索出不同信息。如通過(guò)相關(guān)指令查詢指定身份證號(hào)，可得出指定對(duì)象在半年內(nèi)部分航司的出行記錄以及對(duì)應(yīng)票號(hào)；而通過(guò)輸入具體日期等某一班次航班以及顧客姓氏的開(kāi)頭字母，可提取該航班的符合條件的所有顧客信息以及PN R編碼（旅客訂座記錄）；再輸入另一個(gè)指令查詢PN R編碼，旅客的姓名、身份證信息、訂票電話甚至常用銀行卡號(hào)，則全部暴露無(wú)遺。

不同指令查詢到的內(nèi)容通過(guò)交叉檢索，便可得到更多信息。

也就是說(shuō)，只要擁有足夠的權(quán)限，只要在一個(gè)隨機(jī)航班里選擇某名張姓乘客，就可以查出其身份證信息，從而得到他的出行記錄。

南都記者測(cè)試發(fā)現(xiàn)，該賬號(hào)只能查詢到部分航空公司以及半年內(nèi)的出行記錄。在多名同事的授權(quán)下，記者以身份證號(hào)在系統(tǒng)上進(jìn)行查詢，符合條件者均出現(xiàn)了對(duì)應(yīng)的航班記錄。

值得一提的是，南都記者親測(cè)，剛買的航班信息也可以在該系統(tǒng)上查詢。

4月19日下午5時(shí)，南都記者與同伴兩人通過(guò)攜程商旅訂了深圳航空航班號(hào)為ZH 9443航班，從廣州飛往四川，機(jī)票價(jià)格為1510元/人。當(dāng)天下午5時(shí)30分，通過(guò)該系統(tǒng)相關(guān)指令查詢這趟航班的相關(guān)姓氏，系統(tǒng)上直接出現(xiàn)了南都記者與一起訂票同伴的姓名與身份證號(hào)，還有一個(gè)電話號(hào)碼。

南都記者嘗試撥打該電話，了解到對(duì)方是在某旅游平臺(tái)負(fù)責(zé)訂票業(yè)務(wù)的工作人員何先生。他稱，當(dāng)顧客向平臺(tái)提交訂單信息后，他們可以看到姓名、身份證或護(hù)照等信息。在幫顧客訂完票后，他們需要將航空公司發(fā)送的航班信息進(jìn)行編輯，然后轉(zhuǎn)給顧客，而其中不存在泄露信息的情況。

相反，何先生稱，自己經(jīng)常接到騷擾電話，有時(shí)一天十幾個(gè)電話，包括保險(xiǎn)、買房和理財(cái)?shù)?。?dāng)南都記者告知，他的電話號(hào)碼出現(xiàn)在航班信息查詢系統(tǒng)中時(shí)，何先生表示很驚訝。

那么，這些服務(wù)商所能提供的代理賬號(hào)又來(lái)自哪里呢？

南都記者查閱裁判文書網(wǎng)了解到，2015年12月，山東省濟(jì)南市歷城區(qū)人民法院曾審理一起案件。2013年11月，原系中航信職工的高某某將其掌握的B系統(tǒng)賬號(hào)私自提供給多人使用，使他們可以查詢B系統(tǒng)內(nèi)的數(shù)據(jù)信息。高某某因此獲利203066元。

判決書顯示，高某某一審因提供專門用于侵入計(jì)算機(jī)信息系統(tǒng)工具罪，被判處有期徒刑三年，緩刑五年，并處罰金八萬(wàn)元。

　　公司回應(yīng)

　　中航信：代理人僅能查詢自身銷票和他人授權(quán)信息

針對(duì)航空乘客信息泄露問(wèn)題，4月20日，中航信方面向南都記者回應(yīng)，中航信依規(guī)發(fā)放給機(jī)票代理人的系統(tǒng)配置和權(quán)限，僅能查詢自身銷售的客票信息和其他人授權(quán)的客票信息，即使通過(guò)某種軟件所分出的賬號(hào)也只能查詢自身客票信息。

此外，根據(jù)相關(guān)規(guī)定，中航信在向代理人發(fā)放系統(tǒng)配置和權(quán)限之前，與其簽訂有明確的使用協(xié)議，規(guī)定代理人不得擅自使用未認(rèn)證的設(shè)備或產(chǎn)品接入中國(guó)航信系統(tǒng)，不得向自己工作人員之外的人員提供中國(guó)航信的系統(tǒng)配置和權(quán)限，不得利用配置和權(quán)限進(jìn)入中國(guó)航信系統(tǒng)或使用銷售服務(wù)來(lái)獲取系統(tǒng)中數(shù)據(jù)。

中航信相關(guān)工作人員也表示，早在2010年，中航信就針對(duì)代理人利用外掛平臺(tái)的行為進(jìn)行了堅(jiān)決的清理，違規(guī)行為得到了有效控制，這類外掛平臺(tái)其中一個(gè)重要的功能就是將中國(guó)航信發(fā)放給中航協(xié)所批準(zhǔn)的機(jī)票代理人（經(jīng)銷商）的配置和權(quán)限違規(guī)分出若干個(gè)登錄賬號(hào)，對(duì)外提供機(jī)票銷售和服務(wù)。

4月20日，攜程方面則對(duì)南都記者表示，攜程機(jī)票業(yè)務(wù)及信息安全部門監(jiān)管嚴(yán)格，會(huì)定期反復(fù)排查，目前沒(méi)有任何證據(jù)顯示客戶信息泄露與攜程有關(guān)。

該工作人員同時(shí)稱，攜程內(nèi)部有嚴(yán)格的安全控制措施，客戶信息的傳輸和保存始終處于加密狀態(tài)，任何未經(jīng)授權(quán)的人員都無(wú)法取得這些資料。

　　維權(quán)困境

　　顧客面臨取證難難證明泄露源頭

南都記者注意到，此前針對(duì)信息泄露問(wèn)題，消費(fèi)者和航空公司也曾“對(duì)簿公堂”。

2013年，李某通過(guò)四川航空公司（下稱“川航”）官方服務(wù)電話購(gòu)買機(jī)票后，被詐騙短信通知航班取消，在未核實(shí)的情況下重新購(gòu)買機(jī)票。之后，李某一紙?jiān)V狀將川航以“信息泄露”為由告上法庭。

對(duì)此，川航解釋稱，自2005年起，川航便與中航信簽約，由中航信代為提供航班控制系統(tǒng)服務(wù)、計(jì)算機(jī)分銷系統(tǒng)服務(wù)、民航商務(wù)數(shù)據(jù)網(wǎng)絡(luò)服務(wù)和訂座系統(tǒng)延伸服務(wù)。因而，川航所收集的旅客信息都會(huì)錄入該系統(tǒng)中，但無(wú)法對(duì)這些信息在傳遞、使用過(guò)程中的安全直接進(jìn)行有效監(jiān)控。

川航表示，在短信詐騙頻發(fā)時(shí)期，全國(guó)各大航空公司均有涉及此類詐騙案例，唯有不使用中航信公司訂票系統(tǒng)的秋航空未有涉及。李某航班信息泄露可能是訂票系統(tǒng)的環(huán)節(jié)出現(xiàn)了問(wèn)題，被不法分子利用。

北京志霖律師事務(wù)所副主任、中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)研究中心特約研究員趙占領(lǐng)律師告訴南都記者，類似乘客航班信息被泄露的事情很多，但是由于取證難的問(wèn)題，很少有人進(jìn)行起訴。因?yàn)檎莆招畔⒌闹黧w，包括航空公司、代理商、在線訂購(gòu)網(wǎng)站、中航信等，很難證明究竟是從哪里泄露信息的。

趙占領(lǐng)說(shuō)，消費(fèi)者能做的非常有限，就是提高警惕性，增強(qiáng)防騙意識(shí)。比如別訪問(wèn)釣魚(yú)網(wǎng)站，遇到航班取消的客服電話，最好再打電話給官方客服確認(rèn)。他提醒，盡管顯示的號(hào)碼可能是航空公司，但是號(hào)碼可以通過(guò)改號(hào)軟件修改，所以需要反復(fù)確認(rèn)。

攜程相關(guān)工作人員告訴南都記者，客人在預(yù)訂機(jī)票后，可以使用訂票軟件查詢準(zhǔn)確的航班信息，減小被詐騙的幾率，如果收到詐騙短信，應(yīng)立即報(bào)警。

南都記者查詢國(guó)務(wù)院法制信息辦看到，中國(guó)民用航空局于今年2月21日起草了《民航網(wǎng)絡(luò)信息安全管理劃定（暫行）（征求意見(jiàn)稿）》。根據(jù)國(guó)內(nèi)民航發(fā)展的實(shí)際情況，從制度和技術(shù)層面對(duì)旅客信息保護(hù)加以規(guī)定，主要包括旅客信息保護(hù)制度、收集使用旅客信息的規(guī)定以及旅客信息轉(zhuǎn)移或委托的規(guī)定。

針對(duì)“退改簽詐騙”、“航空詐騙”等頻發(fā)問(wèn)題，規(guī)定指出：民航各單位應(yīng)當(dāng)制定旅客信息保護(hù)軌制，對(duì)在提供服務(wù)過(guò)程中收集、使用的旅客信息，應(yīng)當(dāng)采取相應(yīng)措施嚴(yán)格保護(hù)，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。在發(fā)生或者可能發(fā)生旅客信息泄露時(shí)，應(yīng)當(dāng)立刻采取補(bǔ)救措施。規(guī)定同時(shí)強(qiáng)調(diào)，民航各單位將旅客信息轉(zhuǎn)移或委托給其他組織或機(jī)構(gòu)使用的，應(yīng)當(dāng)簽訂旅客信息保護(hù)協(xié)議，明確旅客信息使用范圍和保護(hù)責(zé)任。