起底机票数据泄露之谜
信息安全公益宣传,信息安全知识启蒙。
加微信群回复公众号:微信群;QQ群:16004488
你有没有收到过“航班因故取消”的短信▼
近几年,“机票退改签”诈骗事件时有发生。由于短信中旅客的信息准确而完整,上当之人络绎不绝。
同时,许多明星的航班信息在微博、贴吧等地公然叫卖,连证件、护照及手机号码也可打包出售,气焰嚣张。
到底是谁这么神通广大,竟能掌握所有旅客的航班信息?
中航信系统被公开出租
前段时间,有人堂而皇之地将明星邓超的历史航班行程发在朋友圈,公开出租“追星系统”,宣称可以查询航班信息、追踪明星行程。
联系出租者得知,所谓的“追星系统”原来是中航信的民航旅客订座系统(eTerm)。
该系统是航班及机票预定、查询、管理系统,航空公司、机票代理商、机场都在使用。无论在哪个订票网站或航空公司购票,旅客的个人信息都会被提供给这个系统。
出租者表示,系统配备了齐全的指令,可以提取多种航班信息。比如以个人身份证件信息可以查询其名下的全部航班行程,航司专用指令可以一次提取整个航班上的所有旅客信息。
用“eTerm出租”等关键字进行搜索,在QQ群、贴吧、淘宝发现了大量的出租信息。
一淘宝店主表示租赁系统账号5000元/月,查询上限1万次;一微博商户表明,500元可购买5万个流量,包括旅客全套信息和出行记录。还有商户以7元/条的价格出售实时航班数据。
这些,都成为机票信息泄露的源头。
数据泄露门槛极低
eTerm系统俗称“黑屏系统”,分为机场A系统、航司B系统、代理人C系统三类。
网上购买一个代理人C系统账号大约600-700元,花1小时就能掌握常用的指令,可以查询到票价、预定时间、姓名、身份证等数据。
代理人C系统覆盖率达60%,通过航空公司订票的数据没有被共享。若是购买航司B系统账号,即使不掌握任何旅客信息,仅仅通过航班号,也可以提取大部分旅客信息。
据业内人士透露,在获取到账号、服务器地址、指令的情况下,编写一个简单的脚本,让机器不停查询近期航班上的旅客信息,然后提取航班、行程、姓名、身份证、联系方式等,再作编辑,就可以发送诈骗短信了。
复盘整个泄露过程,小盟发现此方式门槛极低,购买成本只需几百元,沟通、安装、学习指令等时间成本也几个小时就足够了。
换句话说,别有用心的话,谁都可以获取到旅客航班信息。
真实账号被违规放大
这么强大的系统,账号不应该被全面保护监控吗?然而,网络中售卖的账号,其实并不是系统的真实账号。
eTerm系统问世后,业内开发了放大软件,可以将一个系统账号拆分成N个子账号,权限相同,数据互通。
本意是为代理商节省账号成本,但这种放大软件让代理门槛被降低,泛滥共享、出租、售卖造成了数据泄露。
去年10月,央视曾曝光此漏洞,中航信也采取了诸多举措保护旅客的信息安全。但由于技术门槛较低,这种方法行为并未完全杜绝。
多泄露渠道难溯源
除了eTerm系统,航空公司、各级代理商、第三方订票平台等等都能掌握旅客信息。事实上,由于用户信息管理者众多,很多航班信息泄露甚至无法定位泄露源头,这让维权变得十分艰难。