到底是誰在洩露乘客的個人資訊?每當有航班取消短信詐騙發生後,很快有受害者通過網路進行投訴,指責航空公司或訂票網站洩露資訊。然而相關航空公司和網站都否認洩露資訊,並強調其保護客戶資訊的技術措施非常嚴格。
隨著遭遇詐騙的案例不斷增多,受害者購票渠道幾乎覆蓋了大多數國內航空公司和知名售票網站,資訊從某一家訂票網站或航空公司洩露的可能性逐漸減小,這讓外界將懷疑轉移到中航信身上。
幾乎所有國內航空公司都採用中航信的機票分銷系統,票代通過向中航信付費來獲得終端並查詢航班訂座資訊。但在去年短信詐騙氾濫開始不久,中航信旗下航班資訊軟體便否認了洩露資訊的可能。
而21世紀經濟報道多方調查了解後發現,一些原本是因為中航信與票代之間因利益分配矛盾而産生的外挂系統如今正成為短信詐騙的重要工具,乘客們在訂票後不久,其個人資訊便被不法分子以十幾至二十多元的價格賣給詐騙者。
被洩露的隱私
當發現訂票記錄和個人資訊被洩露後,乘客的第一反應往往是直接向其訂票的第三方網站和航空公司投訴,因為這是多數乘客會直接接觸的兩個環節。
一位李姓的消費者12月17日收到詐騙短信後,就很快將矛頭對準了訂票的網站。而另一位王姓的消費者在航空公司官網上購票後不久,同樣在出行前夕收到了詐騙短信。
如果某一家航空公司官網或第三方訂票網站的客戶普遍遭遇詐騙,航空公司或訂票網站或許難辭其咎,但越來越多的案例顯示,乘客遭遇詐騙並非某一家公司“獨享”——21世紀經濟報道僅僅從微博上查詢便發現,11月以來,持續有在攜程、去哪兒、藝龍幾大訂票網站和東航、南航、深圳航空等航空公司官網訂票的乘客投訴稱其收到了詐騙短信。
但第三方機票銷售平臺和航空公司都連聲喊冤。多個平臺都曾向21世紀經濟報道強調在其網站購票的乘客的個人隱私受到非常嚴密的保護,不可能出現如此大範圍的洩露。
而一家國內航空公司的內部人士也曾向21世紀經濟報道透露,在大量乘客的資訊洩露發生後不久,公司內部還曾專門進行過技術排查,但並未發現資訊漏洞。
於是越來越多的質疑轉向了中航信。大多數乘客並不知道的是,無論是在國內哪個訂票網站或航空公司官網訂票,出行者的個人資訊都會被提供給國內最大的機票分銷系統服務提供商——中航信。中航信開發的機票銷售系統eterm可以進行查詢、預訂、出票和退改簽等操作,目前國內除了春秋航空之外的航空公司都使用這一系統。
然而,在去年9月多家航空公司的乘客遭遇短信詐騙後,中航信旗下的航班資訊服務軟體“航旅縱橫”官方微博曾第一時間否認資訊洩露與其有關,並強調稱其對資訊保護有非常嚴格的規定。
但一年以後,這一類詐騙仍然肆虐。在此期間,航旅縱橫官微一直向在微博投訴的乘客強調中航信有嚴格保護乘客資訊的規定,但中航信方面卻並未直接出面解答外界的質疑。
被叫賣的乘客資訊
事實上,由於接入其機票銷售系統的渠道眾多,即使是中航信也很難判定其掌握的乘客資訊是從哪流出。
目前全國有至少6000多家獲得機票銷售資質的票代,中航信為這些有銷售資質的票代提供銷售終端配置和資訊查詢,並向票代收費。理論上,只要付費獲得了授權,票代就可以通過系統查詢到資訊。
具體來説,不同系統提供的資訊也有所不同。目前中航信提供的系統主要有C系統、B系統和J系統。C系統是針對票代,B系統是針對航空公司,而J系統是針對機場的出境系統。
票代用C系統只能查詢從票代自己這裡出票的乘客資訊。相比之下,B系統可以提供的資訊更多,不僅可以查到大量航班的座位預訂情況和實際出票量,甚至還有航班上的訂位編碼(PNR),其中包括姓名、身份證、電話號碼、航班等等資訊。
曾經有大量未獲得授權的“黑票代”外挂到中航信的系統中,這些票代因不願接受中航信的收費而無法獲得中航信的授權,但卻利用技術手段部分複製了系統,從而實現了對乘客資訊的抓取。為此中航信曾在2010年大力清理違規外挂的票代,但“黑票代”卻並未被完全杜絕。
有了這些資訊,詐騙者要實施詐騙並不困難。北京、江蘇和廈門三地的警方分別在今年5月、6月和10月破獲了違法利用乘客資訊進行短信詐騙的案件,三地警方分別抓獲的犯罪團夥都是在海南儋州市,最大一筆詐騙涉及的金額超過170多萬元。根據報道,警方在通報案情時提到,這些嫌疑人獲得的大量航班資訊是購買而來。
21世紀經濟報道也展開了調查,很快發現要購買機票數據並不困難。記者12月中旬搜尋相關資訊時發現,有一百多個以“機票數據”為主題的QQ群存在,這些群的介紹中很多直接標明是購買或收購機票數據。這些群規模不一,有的有上百人,有的只有十幾個人。
記者以諮詢機票數據為名加入了多個QQ群,發現有幾個群直接就上傳了近期的群資料檔案。其中一個名為“內部數據”的群文件中給出了十多條南航航班上的乘客資訊,包含乘客的姓名、班机編號、航班時間、乘客手機號、身份證號和機票號等資訊。另一個群也提供類似的數據“以作測試”,其中不僅有機票數據,還列出了一些電商網站的客戶數據。
對於剛入群的人來説,這些數據相當於樣本,可以很快驗證這些數據是否真實。21世紀經濟報道在第一個機票群的群文件中隨機地選擇了一位乘客的票號、旅客姓名和手機號在南航官網上查詢,很快查詢到了這一票號真實存在,其對應的訂單編號、機上艙位、乘客姓名、兩段航程的具體時間、地點等也很快顯示出來,與群文件中提供的資訊一致。
在確認其提供的資訊真實存在後,記者以購買數據為由向其中一個群的群主諮詢價格,對方聲稱可以提供去哪兒和攜程的機票數據,基本覆蓋國內的航空公司。具體來説,他手中的數據可以分為歷史數據和未起飛數據兩類,後一類數據他可以在乘客出行前兩天拿到。
根據他的介紹,數據按條出售,其單價與購買數據的數量掛鉤,一般需要批量購買:“購買未起飛數據達到200條可以18元/條的價格出售、達到500條可以15元/條的單價出售。”
對方強調其手中的數據是一手資訊,但卻拒絕向記者透露這些數據的來源,僅稱其可以接入航空公司的系統。從其樣本數據來看,其對接的正是上文提到的B系統。
B系統針對航空公司,理論上票代本身並沒有使用資格,那上述群主使用的系統又是從何而來?21世紀經濟報道進一步查詢發現,網上要找到出租B系統的資訊、用上B系統同樣也並不困難。
在一個分類資訊網站上,一家所謂的航空服務公司就發佈資訊聲稱可以3000元/月的價格出租B系統。在交流的過程中,出租B系統和銷售數據的都表示只接受支付寶等網路交易,拒絕向記者提供更多與其身份和所在地有關的資訊。
此外也有警方曾通報,有犯罪分子通過技術手段入侵航空公司網站,盜取過客戶資訊。就在今年12月初,烏雲漏洞公開了一個關於東方航空大量用戶訂單資訊洩露的漏洞,危害等級為高。但東航方面很快回應,某機票代理人系統伺服器受到不明電腦連續攻擊,少數幾位乘客的退票資訊被識別。為此東航技術部門對網站採取安全強化措施。
[責任編輯: 林天泉]