剛剛預訂了航班,馬上就接到“航班因故取消”的電話,電話那頭,有人自稱航空公司的客服,並能準確報出乘客的乘機資訊———不少人因此掉以輕心,受騙上當。
與此同時,明星的航班資訊公然在QQ羣和微信等地,標價叫賣。南都記者瞭解到,一條售價僅需7元。不光航班資訊可售,明星的證件、護照及手機號碼亦可打包出售。近日,南都記者調查發現,乘客航班資訊的安全隱患依然存在,以很低的成本就能查詢到旅客的基本資訊。
其中,曾於2016年10月被央視《焦點訪談》點名曝光的中航信系統,事後並沒有徹底堵住漏洞,網上依然有不少不法商家公開出租中航信的民航旅客訂座系統(ETERM系統),有的聲稱只要500元便可買5萬個流量,可查詢包括部分航空公司的旅客出行記錄等。
4月19日下午5時,南都記者與同伴兩人透過攜程商旅訂了深圳航空航班號爲ZH 9443航班,從廣州飛往四川,機票價格爲1510/人。當天下午5時30分,透過該系統,南都記者順利檢索到了自己和同行者的相關資訊。
中航信對南都記者回應稱,依規發放給機票代理人的系統配置和權限,僅能查詢自身銷售的客票資訊和其他人授權的客票資訊,即使透過某種軟件所分出的賬號也只能查詢自身客票資訊。
加盟代理明星航班5元出售
4月19日,小北(化名)發佈微博稱,朋友在某知名商旅網站訂購兩張機票,最終資訊外泄,導致被騙一萬多元。小北告訴南都記者,對方自稱航空公司客服要求改簽,由於對方能準確報出具體的航班資訊,朋友因此上當。
與小北的朋友一樣,收到過類似航班詐騙短信的人並不少。
南都記者調查發現,要想獲得某一乘客的航班資訊並不難,7元就可買到明星的航班資訊。4月20日,南都記者以“航班資訊”等關鍵詞進行搜尋,發現在微博、QQ羣和微信上,不少人貼出明星的航班資訊。
4月20日,南都記者加入一個名爲“明星航班早知道”的QQ羣。羣裏不時會貼出最近的明星航班,包括起降時間、往返地點等。
南都記者在該羣聯繫了一個名爲“妧小小”的商家。隨後,“妧小小”讓南都記者加微信“A妧小小”。
南都記者發現,在她的QQ空間和微信朋友圈裏有大量明星航班資訊,其中介紹稱,你想要的都有,包括明星航班微信……證件護照手機號可單買可打包,平均幾毛一個,還教查詢航班的方法,國內國外都可以。
“妧小小”還在朋友圈發文介紹:“120元大包帶走鹿晗微信+護照+微博小號”,平均一個40元。
“妧小小”告訴南都記者,收費標準一般按照查詢的難易程度來定。“如果難查就是10元,不難查就是7元”。“妧小小”說,“今天有人查過張信哲[微博]的航班資訊,收費20元”。
她向南都記者發來幾張圖片,顯示查詢可以精確到選座資訊。圖片顯示,幾天後(涉及當事人隱私,故隱去,下同)從義烏飛往北京的航班上,張信哲的選座資訊顯示爲“未選座”。
不僅國內明星,國外明星的航班資訊也可利用護照查詢。“迪瑪希的航班有點棘手,如果問內部人員可能要貴一點,收費18元。”“妧小小”向南都記者傳來的一張圖片顯示,迪瑪希幾天後的早上8點05分,將乘坐南航某航班,從長沙出發,9點50分抵達西安。
值得一提的是,除了航班資訊之外,“妧小小”也出售明星證件、護照、手機號、微信甚至微博小號等資訊,每個售價50元。
“妧小小”告訴南都記者,自己正在招代理。如果成爲她的代理,拿明星證件、手機號、微信和護照只需要25元,航班資訊5元即可。
“你宣傳好,自然會賺很多,顧客多的話一個月幾千,一天幾百元。”
在交了50元代理費後,南都記者成爲“妧小小”的下線。她發來一段入門必知內容,聲稱剛入行的人員記得要去微博、貼吧、QQ等宣傳招攬顧客,不能偷懶。每出單一次就要在朋友圈裏發一次,增加信譽度。同時,她還提醒入這行就該懂得和顧客說話。比如,當顧客詢問怎麼拿到明星微信時,應該這樣回答,“我們圈裏會有專門的人查詢。”當問及怎麼保證是真的,可以這麼回覆,“圈子裏很多同行都認定的我們才賣。”
“妧小小”總結,“做微商就是要精明,不可以感情用事,也不可以怕事,爲了賣出商品有時候適當用些手段,比如誇大說辭等”。
多個渠道成爲資訊泄露源
那麼,乘客的航班資訊是如何泄露出去的呢?多名民航業內人士告訴南都記者,資訊泄露的根源在航班訂位系統。
國內航空專家林智傑稱,由於現在國內各大航空公司的訂票系統,除春秋航空外,基本都使用的是中國民航資訊集團公司(簡稱中航信)的系統,旅客的航班等資訊也均在系統中儲存。所以,有權限檢視並有可能泄露資訊的主要有四大類人羣。
第一種是機票代理商,比如一些知名商旅網站的相關工作人員,能夠透過中航信發放的代理商賬號查到乘客資訊。這種方法能查詢到的主要是透過代理商渠道購買機票的乘機人資訊。
第二種是航空公司的工作人員,主要包括營銷部門的經理主管、地服、值機、安檢人員等。這類工作人員能查詢到的是購買所在航空公司機票的乘機人資訊。
第三種是中航信工作人員。由於全國絕大多數航空公司的乘機人資訊都會在中航信系統中存儲,中航信的相關工作人員能查詢到絕大多數旅客的個人資訊。
最後一種比較特殊,即一些黑客利用員工密碼或系統漏洞進入中航信系統並查詢資訊。
公開資料顯示,無論是在國內哪個訂票網站或航空公司官網訂票,出行者的個人資訊都會被提供給國內最大的機票分銷系統服務提供商———中航信。中航信開發的機票銷售系統可以進行查詢、預訂、出票和退改簽等操作。
南都記者瞭解到,中航信資訊系統,是中航信面向航空公司、機場、機票銷售代理等機構,提供航空客運業務、航空旅遊電子分銷、機場旅客處理等業務的資訊平臺。該資訊系統主要包括核心網絡、電子客票系統、民航旅客訂座系統(ETER M系統)、離港控制系統。其中民航旅客訂座系統(ETER M系統)又包含代理人分銷系統(C R S系統,簡稱C系統)、航班控制系統(ICS系統,簡稱B系統)。B系統可以提供的資訊相對較多,不僅可以查到大量航班的座位預訂情況和實際出票量,還包括航班上的訂位編碼(PN R),乘客的航班、座位、艙位、價格、姓名、身份證、電話號碼等資訊均在其中。
通常,中航信只會發給經銷商一個賬號,但經銷商可以透過某軟件分出若干個登入小號。這套軟件任何人都可以下載,下載安裝之後,只要有登入賬號就可以訪問中航信的數據庫。
也就是說,有了這些賬號就等於拿到了開啟航班資訊庫的鑰匙,也就可以獲取旅客的航班資訊。這讓中航信旅客資訊泄露問題屢遭詬病。
一位業內人士稱,早在幾年前,他就曾透過網頁下載E T E R M軟件,當時任何人都可以隨便檢視航班資訊。每當有熱點人物出現時,他有時會隨手搜尋一下,比如當郭美美炫富時,他就查了她的航班資訊,瞭解到她與媽媽一同出行。“那個時候真是隨便看。”其稱,大概在三四年前,該系統被中航信部分屏蔽,現在只有賬號權限較高的人才可以看到所有資訊。
500元可買到代理人賬號
儘管如此,還是有服務商有路可循。其中俗稱“黑屏系統”的民航旅客訂座系統(ET ER M系統)便常被不法分子違規利用。
南都記者調查發現,在網上存在大量出租中航信查詢賬號的廣告,聲稱可以“提取航班資訊”、“查詢明星行蹤”。
南都記者在網上以“E T E R M系統出租”等關鍵字進行搜尋,聯繫上一名服務商,其聲稱500元便可買5萬個流量,可查詢包括部分航司的旅客資訊、具體旅客的出行記錄等。
除了出租系統賬號以外,南都記者調查發現,有一些服務商更是直接出售旅客資訊。一名名爲“cc”服務商告訴南都記者,自己使用的是航司B系統原始配置,“身份證、票號、電話都有”,7元一條,50條起售。爲了讓南都記者信服,“cc”還貼出與多名客人交易的截圖,有的人要求“早上的數據要50條,晚上的數據要50條”。
一名服務商甚至在微信朋友圈中貼出鄧超[微博]2016年的多條出行記錄來招攬生意。截圖顯示,其中一條行程是2016年3月的一天,從上海飛往廈門,而南都記者搜尋發現,當日,鄧超確實到達廈門機場爲“跑男”錄製了節目。
從一名曾在此購買賬號、密碼的知情人手中,南都記者得到了一組賬號密碼,隨後成功在中航信官方網頁下載的E T E R M軟件登入。
記者親測查到同事航班記錄
南都記者瞭解ET ERM查詢語言得知,透過輸入不同的指令,系統可以搜尋出不同資訊。如透過相關指令查詢指定身份證號,可得出指定對象在半年內部分航司的出行記錄以及對應票號;而透過輸入具體日期等某一班次航班以及顧客姓氏的開頭字母,可提取該航班的符合條件的所有顧客資訊以及PN R編碼(旅客訂座記錄);再輸入另一個指令查詢PN R編碼,旅客的姓名、身份證資訊、訂票電話甚至常用銀行卡號,則全部暴露無遺。
不同指令查詢到的內容透過交叉檢索,便可得到更多資訊。
也就是說,只要擁有足夠的權限,只要在一個隨機航班裏選擇某名張姓乘客,就可以查出其身份證資訊,從而得到他的出行記錄。
南都記者測試發現,該賬號只能查詢到部分航空公司以及半年內的出行記錄。在多名同事的授權下,記者以身份證號在系統上進行查詢,符合條件者均出現了對應的航班記錄。
值得一提的是,南都記者親測,剛買的航班資訊也可以在該系統上查詢。
4月19日下午5時,南都記者與同伴兩人透過攜程商旅訂了深圳航空航班號爲ZH 9443航班,從廣州飛往四川,機票價格爲1510元/人。當天下午5時30分,透過該系統相關指令查詢這趟航班的相關姓氏,系統上直接出現了南都記者與一起訂票同伴的姓名與身份證號,還有一個電話號碼。
南都記者嘗試撥打該電話,瞭解到對方是在某旅遊平臺負責訂票業務的工作人員何先生。他稱,當顧客向平臺提交訂單資訊後,他們可以看到姓名、身份證或護照等資訊。在幫顧客訂完票後,他們需要將航空公司發送的航班資訊進行編輯,然後轉給顧客,而其中不存在泄露資訊的情況。
相反,何先生稱,自己經常接到騷擾電話,有時一天十幾個電話,包括保險、買房和理財等。當南都記者告知,他的電話號碼出現在航班資訊查詢系統中時,何先生表示很驚訝。
那麼,這些服務商所能提供的代理賬號又來自哪裏呢?
南都記者查閱裁判文書網瞭解到,2015年12月,山東省濟南市歷城區人民法院曾審理一起案件。2013年11月,原系中航信職工的高某某將其掌握的B系統賬號私自提供給多人使用,使他們可以查詢B系統內的數據資訊。高某某因此獲利203066元。
判決書顯示,高某某一審因提供專門用於侵入計算機資訊系統工具罪,被判處有期徒刑三年,緩刑五年,並處罰金八萬元。
針對“退改簽詐騙”、“航空詐騙”等頻發問題,規定指出:民航各單位應當制定旅客資訊保護軌制,對在提供服務過程中收集、使用的旅客資訊,應當採取相應措施嚴格保護,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。在發生或者可能發生旅客資訊泄露時,應當立刻採取補救措施。規定同時強調,民航各單位將旅客資訊轉移或委託給其他組織或機構使用的,應當簽訂旅客資訊保護協議,明確旅客資訊使用範圍和保護責任。=