乘客信息泄露 “中航信”系統或存漏洞
責編:admin |2014-05-05 14:19:19 4月25日,本報報道了《電話詐騙瞄準機票退改簽》,一位讀者因輕信了假冒航空公司發來的機票退改簽的短信提示,在撥打所謂的400客服電話后,5萬多元 不翼而飛,后經確認,航班根本沒有取消。據了解,最近收到過此類“航班取消”詐騙短信的用戶不在少數,“就因為他們把我的個人信息全都說準了,我才相信 的,我的信息他們是怎么知道的?”收到過此類短信的用戶都發出了這樣的疑問。
4月25日,本報報道了《電話詐騙瞄準機票退改簽》,一位讀者因輕信了假冒航空公司發來的機票退改簽的短信提示,在撥打所謂的400客服電話后,5萬多元不翼而飛,后經確認,航班根本沒有取消。據了解,最近收到過此類“航班取消”詐騙短信的用戶不在少數,“就因為他們把我的個人信息全都說準了,我才相信的,我的信息他們是怎么知道的?”收到過此類短信的用戶都發出了這樣的疑問。
究竟是哪個環節出現了問題?記者從業內人士處了解到,有可能是機票銷售系統存在問題,機票銷售系統里存有乘機人的大量信息,包括身份證、航班號等,但對此系統的監管不嚴。
代理商能“越權”拿到信息
多家機票代理商告訴記者,目前航空公司和機票代理商普遍使用的都是中國民航信息集團公司(下稱“中航信”)的eTerm機票銷售系統。記者在其官網上看到,中航信的主營業務是面向航空公司、機場、機票銷售代理、旅游企業及民航相關機構和國際組織,提供航空客運業務處理、航空旅游電子分銷、機場旅客處理、航空貨運數據處理、互聯網旅游平臺、國際國內客貨運收入管理系統應用和代理結算清算等服務,而其開發的eTerm機票銷售系統可以實現查詢、預訂、出票、退改簽等一系列的操作。eTerm機票銷售系統中又分為C系統(代理人系統)、B系統(航空公司系統)、J系統(離港系統)三種,分別對應不同的使用者。
記者撥打了中航信北京總部的電話,一直占線,隨后記者聯系了其控股的上海民航華東凱亞系統集成有限公司。工作人員告訴記者,C系統是專門針對機票代理人的,只可查看所屬航空公司的航班信息,如果想提取訂位編碼(PNR)(如姓名、身份證、電話號碼、航班等),還需要授權。B系統的權限則比C系統要大,可以查詢航班座位銷售情況、出票數與預訂數和某個航班上出票的訂位編碼等。
機票代理商徐小姐告訴記者,代理商也要看上座率等信息,C系統不夠用,所以想要用B系統。
B系統權限疑外流
對于代理商來說,要用上B系統不是難事。“網上有專門出租B系統的商家。”徐小姐告訴記者。
記者在網上搜索了B系統出租,就跳出多家商戶。“全航B系統3000元一個月,可以查多家航空公司,單航B系統只能查某家航空公司,便宜一些。可以查到乘機人的姓名、航班號、身份證等信息,但手機號碼是隱藏的,需要航空公司授權。”一位賣家告訴記者。記者詢問如何得到航空公司授權時,該賣家表示要看和航空公司的關系,一些大代理商就可以弄到。
當記者表示如果租用,需要提供什么材料時,該賣家表示只需提供公司名和電話即可,記者再次詢問個人是否可以租用,賣家表示可以,而且只需提供聯系方式。該賣家還提醒記者,B系統會記錄每一次操作,如果后臺發現用戶進行采集信息的操作,則會被停用系統,但如果只是看看或者查詢,則沒有問題。但當記者問起B系統的來源時,該賣家表示不便透露。
小王是某航空公司員工,他告訴記者,大代理商是信息泄露的源頭之一,但航空公司內部對系統使用權限管控也不嚴。“權限高的或者對系統很熟知的人完全可以查到乘機人的所有信息。”小王說。
對B系統外流到代理商或者個人手里,上海民航華東凱亞系統集成有限公司工作人員表示,系統用戶每個人都有一個登錄名和密碼,后臺也是根據用戶登錄后所執行的指令來判斷是否在采集用戶信息,外流現象很難完全避免。