多家航空公司被指存系統漏洞 泄露用戶信息
責編:admin |2015-02-02 12:04:19多家航空公司被曝系統漏洞 漏洞發布平臺稱個人信息泄露成暴利溫床春運將近,國內最大的漏洞發布平臺烏云網披露了多起航空公司旅客個人信息泄露漏洞。記者了解到,包括旅客姓名、航班信息、身份證號、手機號在內的旅客個人信息在信息販子手中的價格每條竟然高達20元,這些信息經過黑色產業鏈條,最后成為了逼真的退改簽詐騙短信。
>>披露
機票信息可任意查 出入境實時數據泄露
記者昨天在烏云網上看到,僅1月29日一天就有5條涉及航空公司的漏洞得到公司確認,內容涉及航空公司B2C系統淪陷,千萬機票信息可以查看;民航出入境API系統邏輯缺陷,導致出入境實時數據泄露;航空公司內部員工郵箱賬號和密碼泄露,可登錄公司內部郵件系統。
1月29日,烏云“白帽子”(正面的黑客,可以識別計算機系統或網絡系統中的安全漏洞,但并不會惡意去利用,而是公布其漏洞)“路人甲”公開了 “東方航空預付費卡系統淪陷”的漏洞。報告稱,該漏洞可導致客戶信息及預付費卡賬號泄露,預付卡6位數字密碼可爆破(解碼),旅客姓名、身份證號、手機號 碼可能泄露。
烏云網數據顯示,目前東航方面已經確認了該漏洞。烏云網創始人之一孟卓告訴記者,這個漏洞的細節還未進入到公開流程,處于保密階段。但該漏洞可能會導致預付卡中的錢被盜取。
不只是東航,記者看到,在烏云公布的已被企業確認的系統漏洞中,近期涉及航空業的占到相當比例,包括廈門航空、上海航空以及值機常用的APP軟件航旅縱橫等。
烏云漏洞報告指出,廈門航空B2B管理系統淪陷,可查任意乘客機票信息、修改任意代理機構密碼、添加代理商等。
對此,廈門航空在確認漏洞時表示,該系統為舊系統,已停用多時,近期由于內部原因重新打開測試,里面并未存放旅客信息,近期就將關閉。“這個漏洞的影響不應該被夸大。”廈門航空方面表示,“里面的旅客信息是其他航空公司的信息,我司已經2年不用該系統。”
東航方面昨天則稱,預付卡系統并無漏洞,烏云的“白帽子”工程師采取了暴力攻擊的方式才進入系統。“如果采取暴力攻擊的方式,那沒有系統是絕對安全的。”東航方面表示,目前東航已經采取了安全強化措施對系統進行了加固,現在用戶賬戶是安全的。
>>揭秘
個人關鍵信息黑市每條賣20元
金女士不久前訂了東航從北京飛往武漢的機票,然而就在起飛前一晚,當她在網上值機后卻意外地收到了一條署名為“東方航空”的提示短信:“尊敬的 金女士,您預訂的1月24日08:05北京-武漢航班由于機械故障不能起飛已取消,敬請諒解!請及時聯系客服400-0335771辦理改簽或退票。退票 和改簽額外補償200元,改簽收取20元工本費。”
這樣精準的詐騙短信旅客信息究竟從何而來?烏云網的一位資深“白帽子”告訴京華時報記者,為了搞清所泄露的旅客個人信息究竟怎樣變成逼真的退改簽詐騙短信,他專門假扮買家購買信息,從黑產數據販子手中看到了旅客信息是交易的重點。
記者看到,這位名為“陳飛”的數據販子是通過QQ進行交易的,其QQ簽名上赫然寫著“每天早晨10點準時出料,量大提前預訂,下午料5點出,晚上料9點出。”
“白帽子”給記者展示的交易數據顯示,旅客姓名、航空公司、航班信息、起降時間、身份證號、手機號、票號信息應有盡有。而這樣的信息每條售價居然高達20元。
“這些數據都是沒有起飛的航班信息,這樣才有做黑色產業鏈的價值。印象中,數據交易常見的都是幾分、幾毛錢,多則幾塊,像這樣的高價確實讓人驚 訝。”上述“白帽子”告訴記者,聯系了多家數據販子之后,大部分人給出的價格每條都在20元以上,23元、25元一條的也有。每天,這樣的新數據有 600-800條被賣出。“可見,機票詐騙有多暴利。”他說。
>>解讀
多個環節均可致信息泄露
孟卓表示,目前航空公司的客源信息泄露主要來源于兩大方面,一是系統設計漏洞,二是內部人員安全和管理意識不夠,這些系統漏洞可能會導致旅客出 行/未出行航班信息泄露。但信息泄露并非僅僅是航空公司導致的,中航信系統、機票代理商、可以購買機票的旅游網站都可能因漏洞導致旅客關鍵信息被盜。
網絡安全專家趙占領認為,航空公司、票代、互聯網售票平臺都擁有旅客個人信息,信息泄露的原因可能是有內鬼盜取數據,也有可能是系統受到黑客攻擊。
上述白帽子也同意這樣的說法,“從數據販子拿到的信息看,這些旅客信息更像是專業的代理系統、售票平臺出來的。所以說重視安全管理才顯得重要。”
趙占領告訴記者,個人數據泄露之所以難以杜絕,一方面是涉及環節較多,不好發現問題出在哪里。另一方面,違法成本低,維權很難。如果走民事途徑,不知道該起訴誰;如果走刑事途徑,除非能揪出內鬼或黑客,否則不能立案。