本報(bào)記者 肖夏 上海報(bào)道
到底是誰在泄露乘客的個(gè)人信息?每當(dāng)有航班取消短信詐騙發(fā)生后����,很快有受害者通過網(wǎng)絡(luò)進(jìn)行投訴���,指責(zé)航空公司或訂票網(wǎng)站泄露信息。然而相關(guān)航空公司和網(wǎng)站都否認(rèn)泄露信息��,并強(qiáng)調(diào)其保護(hù)客戶信息的技術(shù)措施非常嚴(yán)格�����。
隨著遭遇詐騙的案例不斷增多,受害者購票渠道幾乎覆蓋了大多數(shù)國內(nèi)航空公司和知名售票網(wǎng)站���,信息從某一家訂票網(wǎng)站或航空公司泄露的可能性逐漸減小����,這讓外界將懷疑轉(zhuǎn)移到中航信身上�。
幾乎所有國內(nèi)航空公司都采用中航信的機(jī)票分銷系統(tǒng),票代通過向中航信付費(fèi)來獲得終端并查詢航班訂座信息��。但在去年短信詐騙泛濫開始不久��,中航信旗下航班信息軟件便否認(rèn)了泄露信息的可能�����。
而21世紀(jì)經(jīng)濟(jì)報(bào)道多方調(diào)查了解后發(fā)現(xiàn)���,一些原本是因?yàn)橹泻叫排c票代之間因利益分配矛盾而產(chǎn)生的外掛系統(tǒng)如今正成為短信詐騙的重要工具�����,乘客們?cè)谟喥焙蟛痪?���,其個(gè)人信息便被不法分子以十幾至二十多元的價(jià)格賣給詐騙者。
被泄露的隱私
當(dāng)發(fā)現(xiàn)訂票記錄和個(gè)人信息被泄露后��,乘客的第一反應(yīng)往往是直接向其訂票的第三方網(wǎng)站和航空公司投訴��,因?yàn)檫@是多數(shù)乘客會(huì)直接接觸的兩個(gè)環(huán)節(jié)���。
一位李姓的消費(fèi)者12月17日收到詐騙短信后���,就很快將矛頭對(duì)準(zhǔn)了訂票的網(wǎng)站。而另一位王姓的消費(fèi)者在航空公司官網(wǎng)上購票后不久���,同樣在出行前夕收到了詐騙短信。
如果某一家航空公司官網(wǎng)或第三方訂票網(wǎng)站的客戶普遍遭遇詐騙����,航空公司或訂票網(wǎng)站或許難辭其咎,但越來越多的案例顯示����,乘客遭遇詐騙并非某一家公司“獨(dú)享”——21世紀(jì)經(jīng)濟(jì)報(bào)道僅僅從微博上查詢便發(fā)現(xiàn),11月以來���,持續(xù)有在攜程�����、去哪兒����、藝龍幾大訂票網(wǎng)站和東航、南航�����、深圳航空等航空公司官網(wǎng)訂票的乘客投訴稱其收到了詐騙短信����。
但第三方機(jī)票銷售平臺(tái)和航空公司都連聲喊冤。多個(gè)平臺(tái)都曾向21世紀(jì)經(jīng)濟(jì)報(bào)道強(qiáng)調(diào)在其網(wǎng)站購票的乘客的個(gè)人隱私受到非常嚴(yán)密的保護(hù)�,不可能出現(xiàn)如此大范圍的泄露。
而一家國內(nèi)航空公司的內(nèi)部人士也曾向21世紀(jì)經(jīng)濟(jì)報(bào)道透露�����,在大量乘客的信息泄露發(fā)生后不久�,公司內(nèi)部還曾專門進(jìn)行過技術(shù)排查,但并未發(fā)現(xiàn)信息漏洞���。
于是越來越多的質(zhì)疑轉(zhuǎn)向了中航信����。大多數(shù)乘客并不知道的是,無論是在國內(nèi)哪個(gè)訂票網(wǎng)站或航空公司官網(wǎng)訂票���,出行者的個(gè)人信息都會(huì)被提供給國內(nèi)最大的機(jī)票分銷系統(tǒng)服務(wù)提供商——中航信����。中航信開發(fā)的機(jī)票銷售系統(tǒng)eterm可以進(jìn)行查詢���、預(yù)訂�、出票和退改簽等操作�����,目前國內(nèi)除了春秋航空之外的航空公司都使用這一系統(tǒng)���。
然而,在去年9月多家航空公司的乘客遭遇短信詐騙后���,中航信旗下的航班信息服務(wù)軟件“航旅縱橫”官方微博曾第一時(shí)間否認(rèn)信息泄露與其有關(guān)���,并強(qiáng)調(diào)稱其對(duì)信息保護(hù)有非常嚴(yán)格的規(guī)定���。
但一年以后,這一類詐騙仍然肆虐���。在此期間����,航旅縱橫官微一直向在微博投訴的乘客強(qiáng)調(diào)中航信有嚴(yán)格保護(hù)乘客信息的規(guī)定�����,但中航信方面卻并未直接出面解答外界的質(zhì)疑��。
被叫賣的乘客信息
事實(shí)上�,由于接入其機(jī)票銷售系統(tǒng)的渠道眾多,即使是中航信也很難判定其掌握的乘客信息是從哪里流出����。
目前全國有至少6000多家獲得機(jī)票銷售資質(zhì)的票代,中航信為這些有銷售資質(zhì)的票代提供銷售終端配置和信息查詢�,并向票代收費(fèi)。理論上,只要付費(fèi)獲得了授權(quán)��,票代就可以通過系統(tǒng)查詢到信息�。
具體來說,不同系統(tǒng)提供的信息也有所不同����。目前中航信提供的系統(tǒng)主要有C系統(tǒng)、B系統(tǒng)和J系統(tǒng)�。C系統(tǒng)是針對(duì)票代,B系統(tǒng)是針對(duì)航空公司�����,而J系統(tǒng)是針對(duì)機(jī)場(chǎng)的離港系統(tǒng)��。
票代用C系統(tǒng)只能查詢從票代自己這里出票的乘客信息�����。相比之下�,B系統(tǒng)可以提供的信息更多,不僅可以查到大量航班的座位預(yù)訂情況和實(shí)際出票量���,甚至還有航班上的訂位編碼(PNR),其中包括姓名、身份證�����、電話號(hào)碼����、航班等等信息。
曾經(jīng)有大量未獲得授權(quán)的“黑票代”外掛到中航信的系統(tǒng)中�,這些票代因不愿接受中航信的收費(fèi)而無法獲得中航信的授權(quán),但卻利用技術(shù)手段部分復(fù)制了系統(tǒng)��,從而實(shí)現(xiàn)了對(duì)乘客信息的抓取��。為此中航信曾在2010年大力清理違規(guī)外掛的票代����,但“黑票代”卻并未被完全杜絕。
有了這些信息�,詐騙者要實(shí)施詐騙并不困難。北京����、江蘇和廈門三地的警方分別在今年5月、6月和10月破獲了違法利用乘客信息進(jìn)行短信詐騙的案件����,三地警方分別抓獲的犯罪團(tuán)伙都是在海南儋州市���,最大一筆詐騙涉及的金額超過170多萬元。根據(jù)報(bào)道�����,警方在通報(bào)案情時(shí)提到����,這些嫌疑人獲得的大量航班信息是購買而來。
21世紀(jì)經(jīng)濟(jì)報(bào)道也展開了調(diào)查�����,很快發(fā)現(xiàn)要購買機(jī)票數(shù)據(jù)并不困難�����。記者12月中旬搜尋相關(guān)信息時(shí)發(fā)現(xiàn)����,有一百多個(gè)以“機(jī)票數(shù)據(jù)”為主題的QQ群存在,這些群的介紹中很多直接標(biāo)明是購買或收購機(jī)票數(shù)據(jù)����。這些群規(guī)模不一��,有的有上百人,有的只有十幾個(gè)人�。
記者以咨詢機(jī)票數(shù)據(jù)為名加入了多個(gè)QQ群,發(fā)現(xiàn)有幾個(gè)群直接就上傳了近期的群數(shù)據(jù)文件��。其中一個(gè)名為“內(nèi)部數(shù)據(jù)”的群文件中給出了十多條南航航班上的乘客信息�,包含乘客的姓名、航班號(hào)�、航班時(shí)間、乘客手機(jī)號(hào)���、身份證號(hào)和機(jī)票號(hào)等信息�。另一個(gè)群也提供類似的數(shù)據(jù)“以作測(cè)試”��,其中不僅有機(jī)票數(shù)據(jù)��,還列出了一些電商網(wǎng)站的客戶數(shù)據(jù)�����。
對(duì)于剛?cè)肴旱娜藖碚f�����,這些數(shù)據(jù)相當(dāng)于樣本,可以很快驗(yàn)證這些數(shù)據(jù)是否真實(shí)�。21世紀(jì)經(jīng)濟(jì)報(bào)道在第一個(gè)機(jī)票群的群文件中隨機(jī)地選擇了一位乘客的票號(hào)、旅客姓名和手機(jī)號(hào)在南航官網(wǎng)上查詢��,很快查詢到了這一票號(hào)真實(shí)存在��,其對(duì)應(yīng)的訂單編號(hào)�、機(jī)上艙位、乘客姓名��、兩段航程的具體時(shí)間����、地點(diǎn)等也很快顯示出來,與群文件中提供的信息一致���。
在確認(rèn)其提供的信息真實(shí)存在后����,記者以購買數(shù)據(jù)為由向其中一個(gè)群的群主咨詢價(jià)格���,對(duì)方聲稱可以提供去哪兒和攜程的機(jī)票數(shù)據(jù)��,基本覆蓋國內(nèi)的航空公司���。具體來說�����,他手中的數(shù)據(jù)可以分為歷史數(shù)據(jù)和未起飛數(shù)據(jù)兩類,后一類數(shù)據(jù)他可以在乘客出行前兩天拿到��。
根據(jù)他的介紹�����,數(shù)據(jù)按條出售�����,其單價(jià)與購買數(shù)據(jù)的數(shù)量掛鉤���,一般需要批量購買:“購買未起飛數(shù)據(jù)達(dá)到200條可以18元/條的價(jià)格出售���、達(dá)到500條可以15元/條的單價(jià)出售?��!?/p>
對(duì)方強(qiáng)調(diào)其手中的數(shù)據(jù)是一手信息��,但卻拒絕向記者透露這些數(shù)據(jù)的來源���,僅稱其可以接入航空公司的系統(tǒng)�。從其樣本數(shù)據(jù)來看��,其對(duì)接的正是上文提到的B系統(tǒng)�。
B系統(tǒng)針對(duì)航空公司,理論上票代本身并沒有使用資格�,那上述群主使用的系統(tǒng)又是從何而來?21世紀(jì)經(jīng)濟(jì)報(bào)道進(jìn)一步查詢發(fā)現(xiàn)���,網(wǎng)上要找到出租B系統(tǒng)的信息�����、用上B系統(tǒng)同樣也并不困難���。
在一個(gè)分類信息網(wǎng)站上,一家所謂的航空服務(wù)公司就發(fā)布信息聲稱可以3000元/月的價(jià)格出租B系統(tǒng)�。在交流的過程中,出租B系統(tǒng)和銷售數(shù)據(jù)的都表示只接受支付寶等網(wǎng)絡(luò)交易,拒絕向記者提供更多與其身份和所在地有關(guān)的信息�。
此外也有警方曾通報(bào),有犯罪分子通過技術(shù)手段入侵航空公司網(wǎng)站��,盜取過客戶信息���。就在今年12月初�����,烏云漏洞公開了一個(gè)關(guān)于東方航空大量用戶訂單信息泄露的漏洞�����,危害等級(jí)為高。但東航方面很快回應(yīng)�,某機(jī)票代理人系統(tǒng)服務(wù)器受到不明計(jì)算機(jī)連續(xù)攻擊,少數(shù)幾位乘客的退票信息被識(shí)別�����。為此東航技術(shù)部門對(duì)網(wǎng)站采取安全強(qiáng)化措施����。(編輯 王潔)
