查看原文
其他

预订机票后接到诈骗电话,乘客信息是怎么泄漏的?

张剑 财经E法 2023-11-26

多份判决书显示,以机票退改签为由的电信诈骗已存在多年,其作案手段万变不离其宗——以乘客乘机信息泄露为肇始点,包括航空公司、OTA平台、机票代理商等机票销售渠道的“内鬼”参与其中。

本文字数3397,阅读时长约10分钟

文|财经E法 张剑

编辑 | 鲁伟

“订了机票后很快接到诈骗电话,以航班取消为由骗钱,各项信息都准确。”近期,有网友在人民网领导留言栏目反馈,希望民航部门重视乘客乘机信息保护问题。

中国民用航空局(下称“民航局”)对此回应称,正在编制相关文件,进一步加强对重要数据的保护;对于第三方网络渠道代理公司的旅客信息泄露等问题,将积极协调公安机关开展有关严查打击工作。民航局的这一回应,一度成为新浪微博的热搜词,公众对自身乘机的个人信息重视程度可见一斑。

10月30日以来,财经E法通过检索中国裁判文书网发现,以机票退改签为由的电信诈骗已存在多年,其作案手段万变不离其宗——以乘客乘机信息泄露为肇始点,包括航空公司、OTA平台、机票代理商等机票销售渠道的“内鬼”参与其中,这是泄露乘机信息的最主要途径。

民航是安全的代名词,乘机信息在很多公众心中也自认是“安全的”,那么上述“内鬼”是如何将乘机信息泄露出去的?有没有彻底斩断这条灰色链条的解决之道?

01

乘客信息是怎么泄露的

据前述网友反映,近期他和朋友们预订了机票后,有三人接到诈骗电话。对方称是航空公司客服,以航班出现机械故障将取消为由,要求乘客留下支付宝账号获得补偿。诈骗分子可以准确说出乘客的姓名、电话、身份证号、乘坐航班的班次等信息。

上述网友认为,虽然他们识别出这是电信诈骗,但依然有很大隐患:一是对方假报航班取消信息干扰旅客行程;二是这种信息泄露问题极其严重,所幸他们了解诈骗懂得避险,如果遇到了未识别出来的旅客,将会造成严重的财产损失。这位网友提出,希望民航局协调公安部门严查第三方网络渠道代理公司的旅客信息泄露和利用航班信息诈骗问题。

据财经E法了解,以机票退改签为幌子的电信诈骗的案件前已有之,仅2017年至今,与此有关的判决书超过30份,涉案人员包括航空公司机票业务外包公司、OTA平台、旅行社等机票销售机构的员工等,相关案件中的电诈分子主要被认定构成诈骗罪、侵犯公民个人信息罪。

吉林省白山市中级人民法院(下称“白山中院”)审结的一起案件,披露了某航空机票业务外包公司一名员工是如何泄露乘客信息的——鲁某曾工作上海天麦科技有限公司(下称“天麦科技”)是某航空机票业务的外包公司,负责接客服电话,帮助旅客订购机票、改机票和退机票,可以接触到机票销售系统,清楚乘客的所有机票信息,还可以复制这些个人信息到电脑桌面。

进入天麦科技工作后不久,鲁某开始和徐某合作,将自己在销售系统中的账号和密码提供给徐某,徐某远程登录系统,窃取系统内的乘客乘机信息(内容包括姓名、身份证号码、手机号码、航班号、航班时间、起飞及降落地点等),销售给电信诈骗分子,“我和徐某约定五五分成,2015年6月份到2016年6月底一共获利400多万”。截至2017年5月被警方抓获时,鲁某出售乘客乘机信息共计67万余条,获利共计近230万元。2018年11月23日,白山中院维持了一审法院的判决,鲁某因构成侵犯公民个人信息罪获刑四年。

OTA平台、旅行社等机票销售机构泄露乘客信息的事件也时有发生。

上海市长宁区人民法院2017年3月的一份判决书记载,2016年2月,广州携程国际旅行社有限公司(下称“携程旅行社”)机票预订部员工王某,将其公司电脑的登录账号、密码和SERVICE密码等告知郑某某,并允许郑某远程操控其工作用电脑。郑某利用王某提供的上述账户、密码,通过远程操控王某的工作电脑,窃取了旅行社电脑系统内客户的个人信息2700余条,包含姓名、身份证号、手机号码等内容。

2016年11月,四川省青川县人民法院对一起侵犯公民个人信息案作出一审判决,判决书记载,王某在深圳市腾邦国际商业服务股份有限公司(下称“腾邦国际”)工作期间,于2015年5月至2015年12月,利用其在该公司订机票部门负责处理机票预订售后服务的机会,将购买机票的公民个人信息复制后,以10元至15元不等的价格卖给梁某,共获赃款66083元。腾邦国际是从事机票销售的电子商务企业。

海南省儋州市人民法院2016年7月的一份一审判决记载,2015年3月初,时任重庆市畅游天下电子商务有限公司出票组的工作人员彭某结识了李某,双方在相处后的交谈中,李某提出需要购买订购机票的公民的姓名、身份证号码、乘坐飞机的航班及起降时间、航班的始发地和目的地、手机号码等个人信息。

从2015年3月初至11月6日期间,彭某利用工作中的便利条件,进入公司销售机票的“胜意8000”系统后台,将乘客的订票信息导出。然后将在淘宝网上订票的乘客信息筛选出来,整理后保存在word文档里。以每条9元至12元不等的价格,总计将4万多条订票信息出售给李某,非法获利40多万元。

由此可见,乘客乘机信息泄露以及由此引发的电信诈骗存在已久,该如何斩断这个灰色链条?

02

如何斩断灰色利益链

针对前述网友的投诉,民航局回应称,该局高度重视数据治理工作,认真贯彻《网络安全法》《数据安全法》《个人信息保护法》等相关规定,先后出台“7+1”智慧民航数据治理系列规范,指导规范行业单位开展数据共享、数据服务、数据安全等工作。目前,为落实民航领域数据分类分级保护有关要求,民航局正在编制相关文件,进一步加强对重要数据的保护。同时,对于第三方网络渠道代理公司的旅客信息泄露等问题,民航局将积极协调公安机关开展有关严查打击工作。

民航局出台的“7+1”是指《智慧民航数据治理规范数据安全》等7部行业标准以及一份名为《智慧民航数据治理典型实践案例》(下称《实践案例》)的信息通告。此外,2023年7月16日,民航局在关于《政协十四届全国委员会第一次会议第02366号(工交邮电类327号)提案答复的函》中披露,正在开展《民航数据管理办法》《民航数据共享管理办法》和《民航数据安全管理办法》3部管理办法的编制工作。

财经E法在《实践案例》中注意到,作为航空信息数据的汇总者,中国民航信息集团有限公司(下称“中航信”)在一篇题为《旅客数据对外提供治理实践案例》的文章中披露,作为唯一以 IT 信息服务为主业的央企集团,中航信主要为航空公司、机场、旅行社、代理商提供航班控制、机票分销、运价服务、值机配载、结算清算等信息服务。

目前,机票销售使用最普遍的“民航旅客订座系统” (Eterm系统)正是由中航信开发的。这一系统的操作界面是黑色背景、绿色和黄色字体,因此被业内人士称为“黑屏系统”。

多位机票代理机构业务人员告诉财经E法,按照系统功能设置,只要在“黑屏系统”需输入乘客身份证号,就能查到包括航班的座位、舱位、电话号码等详细资料,并不需要乘客本人验证,因此机票代理商、航空公司工作人员、中航信工作人员均有渠道和权限查阅乘机信息。

中航信在《旅客数据对外提供治理实践案例》一文中提及,将严格执行旅客数据提供审批流程,禁止超范围提供;按照“谁审批、谁负责”原则进行追责;坚持分级审批原则,避免低职位高权限的管理问题;严格按照合同或协议约定的数据范围、频度、类型、用途、数据提供时间和方式等内容进行。

此外,中航信方面表示,数据管理技术在数据治理过程中必不可少。敏感数据加密及脱敏,能够确保开发和测试人员无法接触到真实旅客数据,降低数据泄露风险。数据审计与监控,能够及时发现异常操作行为,对于责任追查和数据恢复非常重要。

目前的机票预订,是以乘客身份证(护照)号码为基础,对此中航信方面表示,网上订票已经成为机票预订的主要渠道。旅客通过航空公司官网或机票代理商网站,提交乘机人真实的个人信息后,由航空公司或代理商锁定并出票。然而,线上购票给旅客带来的最大困扰就是信息泄露。近年来,由于信息泄露,收到诈骗短信而造成财产损失的旅客不在少数,而参与维权的后果又往往不尽如人意。民航旅客的电子身份信息就迫切需要能够有完善的隐私保护服务体系,如:用户自愿原则、个人信息保护原则、个人信息收集最小化原则、便利和互操作原则、充分告知原则、风险控制原则等。

在实现路径和具体目标上,中航信提出,基于移动互联网基础平台,设计提出民航旅客高可靠安全电子身份认证、授权和使用的体系,搭建电子身份证照信息网络安全存储环境,研发集成近场通信、人脸识别、活体检测、数据加密等先进技术电子身份证照系统,实现行程校验和身份校验的统一,有力地支撑民航旅客全流程无纸化安检、登机服务,提升民航旅客体验、出行效率和安全性。


 近期话题,点击阅读
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存