APP泄露航班信息 80元买到鹿晗航班行程
林琳的APP上突然多出的航班信息。
记者购买鹿晗航班信息。
一家航空公司官网上,能查到他人登机信息。
5月9日,最高人民法院通报了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
这是两高首次就打击侵犯公民个人信息犯罪出台司法解释。根据此次司法解释,非法获取、出售公民个人信息,情节严重者可获刑。
“近年来,侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害更加严重。”最高法相关人士称。
我们几乎每个人,都曾被推销电话、诈骗短信骚扰过。去年发生的“徐玉玉案”,即是个人信息遭侵犯导致的“恶果”。
在此节点,新京报推出关于“个人信息泄露”的系列调查报道。我们将通过对航空、征信、银行卡等领域的调查,以期找到个人信息泄露的源头。
“不知道有多少人手中握着我的资料和信息。”一次偶然的“退票”风波,让林琳(化名)发现自己的信息在网上暴露了。
更严重的是,外人能够通过手机APP对林琳的飞机票进行退票、改签等操作。
新京报记者调查发现,航空APP如今正成为乘客航班信息泄露的重要渠道,信息泄露的渠道包括了部分航空公司的官方APP、第三方航班APP以及航空公司的官网。
“只要知道明星的姓名和身份证号,能把他的预出行行程全部查到。”一位在网上贩卖明星行程的商家称。
新京报记者获知,明星的航班报价按照飞行区域不同,每条价格在15-40元左右。记者在花费80元后,即获得两份鹿晗近期的航班信息。此外,记者还花45元获得了两份周杰伦近期的航班信息。
航空公司APP 飞伦敦航班被取消 谁动了我的机票?
直到现在,林琳都不知道究竟有多少人手中握有自己的个人信息。由于航空公司APP系统错误,林琳飞伦敦的机票被他人给取消了。
机票被他人通过APP取消
4月19日,林琳接到一家航空公司官方APP发来的信息,称她于2月初所预订的从北京飞往英国伦敦的机票,已经成功退票,所支付金额也将于近期内返还至其银行账户当中。
“我根本就没申请过退票!”林琳诧异之余,随即联系到该航空公司客服。尽管再三解释,但客服一再称,根据系统所显示的情况,这一行为正是林琳于两天前通过APP软件操作所致。
“客服建议我回忆下近期的操作,看是不是不小心误点了。”林琳说,“这不可能,就算再不小心,也不会出现误点取消情况。”
后来,林琳打开该APP时发现,软件“常用乘机人”页面里,除自己信息外,还多出了三四个陌生人的资料。
疑惑之下,林琳看到,这些关联人士年龄从20多岁到50多岁不等,身份证号码显示地址也分散在全国各地;同时这些关联人资料中除了姓名联系方式外,还清楚地显示着相应身份证号码、开户银行和卡号。而在APP“全部行程”一栏中,也发现多了数十条不属于自己乘坐航班线路的行程。
4月19日,新京报记者根据林琳发来的截图,联系上几位关联人士。这些人士称,他们对自己的信息出现在航空APP里,完全不知情。
“几个月前 下载 注册APP时,确实发现常用登机人里面有几个不认识的。但当时以为是系统自动推送的假信息,所以一直没有理睬。”一位关联人士说。
新京报记者说明来意后,另一位关联女士周红(化名)则说,是自己前几天取消了林琳的航班。
“我当时完全不知道情况。”周红称,此前她因为出差,曾在这家航空公司的APP上购买了机票,在浏览航班是否订票成功时,发现APP行程里有一班从北京飞往英国的航班提示。
从没有订过此航班的周红,认为遇到了诈骗信息,随即选择取消。
这意味着,该APP上的几位关联人士之间,不但能彼此了解对方的各种身份信息,同时还能接收对方的飞行行程、订票信息,更能取消他人的机票航班。
“太可怕了。”得知机票被取消原委后的林琳很是吃惊。经过与航空公司客服人员的数次交涉后,林琳获得了补偿措施:由她重新购买机票,再由航空公司补差价。
存在已久的系统漏洞
“这是航空APP系统临时出现漏洞。”4月下旬,林琳联系到该APP的一位工作人员,该APP工作人员回复林琳称,“系统出现错误,导致用户账户出现串联。”
对方作出“立即为她修改漏洞”承诺后的十多分钟后,当林琳再次登录APP时发现,上面的陌生关联人已被清除,但仍有数条其他关联人所使用的行程。
当林琳再度联系上该航空APP工作人员时,对方解释为“正在处理”。半个多小时后,关联人的所有信息才被彻底清除。
事实上,新京报记者发现,这款航空公司APP系统出现“客户资料泄露”问题并非个例;早在数月前就有不少网友发帖称,自己的APP上出现“不明陌生人”、“他人行程”等问题。
其中,一位网友就在帖子中说,“每次登录都能刷出其他不同人的身份信息”,“那是不是我写个脚本一直刷就能获得一大批身份信息?”
“作为国内知名的航空公司,这家航空公司在APP这些细节问题上并没有让乘客感到完全安心。”一位航空行业资深专家说。
有数据显示,2016年,该航空公司会员达到4297万人。庞大的乘客数据,也意味着可能因为该款航空APP的系统“漏洞”,导致更多乘客的信息泄露。
5月9日,新京报记者联系上该航空APP的工作人员,试图就这一信息泄露事件,以及系统软件恢复情况进行咨询。对方以“个人不能接受采访”为由婉拒。随后新京报记者发送采访函给该航空公司相关部门,截至记者发稿,未获对方回复。
航班管家 证件号能查明星航班
新京报记者调查发现,一些第三方航空软件,也在航空信息方面存在漏洞。5月10日,记者在微博、微信和QQ群里,发现数个专营出售演艺明星航空信息的商家。
记者加上一位名为“追星小助手”的微信号,其微信资料写着“专职销售‘明星航班’信息”。其朋友圈中,每天详细更新着鹿晗、张艺兴、迪丽热巴等数十位当红艺人最新的航班日程,以及起始地址。
“你想要谁的行程都可以。国内航班信息每条15元,港澳台以及国际航班信息30元一条。”“追星小助手”介绍说。
新京报记者在其朋友圈内看到,除了明星航班信息外,就连对方证件号、护照号都在以80元-500元不等的价格进行销售。
记者随即以“鹿晗粉丝”为名,希望得到其最新的行程。而对方解释由于“鹿晗太火了”,所以要价也比普通艺人费用更高一些。
在支付了80元后,对方很快发来了鹿晗的航班行程:5月17日从北京首都机场乘坐海航HU79××航班飞往捷克布拉格,5月19日乘坐海航HU79××从捷克布拉格返回北京首都机场。
记者随后在网上查询发现,鹿晗所参加的综艺节目《奔跑吧》最后一期录制场地正是位于捷克。
当记者咨询能否查询普通乘客航班号时,“追星小助手”表示,“只要50元学费,能传授方法”,并承诺学会后能查询任何人的航班预出行信息。
经过不到20分钟的“教学指导”后,新京报记者发现查询方法,即是通过航班管家这些第三方航程APP的系统漏洞进行查询。但必要前提是需要知道对方的相关证件信息。
记者注册航班管家APP过程中,“追星小助手”特意一再叮嘱“姓名、身份证都能随便填,但手机号一定要留自己的,方便接收验证码。”
进入APP后,记者在“行程服务”中点击“手机值机选座”选项,在“凭证号”以及“姓名”处输入同事的身份证号码和姓名后,开始选择不同的航空公司进行“办理值机”尝试。
最终,记者在切换到一家航空公司后,顺利找到同事10分钟前所预订的由北京飞往青岛的航程信息。点击进入后,同事姓名、航班起始地点、飞行日期、航班号以及座位号等相关信息均被详细显示出来。
“如此一来,你想查谁的登机情况都能轻松查到,到时候你还可以选择他相邻的座位。”“追星小助手”说。
资料显示,航班管家由活力世纪科技(北京)有限公司制作,业务范围包括酒店查询及预订、航班动态查询以及手机值机等。
2017年1月,移动互联网数据研究机构贵士移动报告称,航班管家如今在线用户数量达到424万人,在同行中位列第一。2015年其交易额更是达到近200亿元,稳居国内航空APP市场前三位置。
5月11日,新京报记者就信息泄露情况欲联系航班管家相关负责人,手机无人接听,随后发送短信,截至发稿未获回复。
航空公司官网 “值机”系统可改他人座位
“不仅仅是第三方APP,就连很多航空公司官网都存在信息漏洞。”5月9日,一位兜售航班信息的商家介绍说,“很多航空官网上,都能查到陌生人航班信息。”
为了证明“所言非虚”,他向记者发来一份“查询指南”。指南称,不同航空公司,存在着不同的查询方法;“指南”上还详细地标明乘客在往返国内几个大城市之间时,所最常用的航空公司选择名单。
5月9日,新京报记者登录一家航空公司官网。按照上述流程指导,在输入同事姓名以及身份证号后,网站没有任何身份真假验证流程即转跳到相应航班页面。
该页面清楚地显示出记者同事所预订航班的飞行时间、飞行地点,以及所选择的座位等信息。新京报记者还发现,当点击对方座位信息时,网站系统还提示可以进行“退座重选”的操作。
“其实很多航空公司官网都存在或多或少的漏洞。”5月10日,一位航空行业资深人士说,“通常航空公司只确定乘客姓名和身份证即可,但很少对手机进行绑定,所以很多信息正是从这一漏洞泄露出去。”
新京报记者登录几家知名航空公司的官网也发现,在办理登机流程时,只需要输入相应身份证和用户姓名即可,并没有通过注册时所绑定的手机号进行短信验证这一环节。
事实上,在多位“商家”传授航班信息查询方法时都特意叮嘱,查询者的姓名、身份证号码可以随便填写,但“务必要用自己的手机号码”。其原因正是“方便提示输入手机验证码时,好用来接受短信”。
“很难想象这种大型航空公司会出现如此漏洞。”上述商家对新京报记者说,“一家航空公司会员有3000多万人,这给了我们极大的利益空间。”
当记者向该商家咨询每月以“查询航班”的模式赚多少钱,他称,“几千到上万元”,“很多做得好的,每个月动辄近十万元”。
延伸
航空信息泄露渠道多 乘客维权取证难
“第三方APP以及官网所造成的信息泄露,只是整个航空行业冰山一角。如今航空信息泄露源头实在太多。”5月10日,一位多年从事航空管理工作的人士称,“泄密涉及环节太多,根本不清楚究竟是哪一环出现问题。”
新京报记者在调查时发现,尽管信息泄露渠道繁多,但源头指向了中航信Eterm系统。所谓Eterm系统,即为民航旅客订座系统,其是中航信信息系统下属系统之一。如今国内各大航空公司的订票系统,基本都使用的是中国民航信息集团公司系统。而这款系统面向航空公司、机场、机票销售代理等机构,主要提供航空客运业务、航空旅游电子分销等服务。
作为中航信系统核心之一,Eterm系统不仅可以查到航班的座位预订情况,还能详尽地查阅到每班航班上的订位编码,乘客的座位、舱位、姓名、证件号、电话号码等诸多隐私信息信息。
此前曾有国内媒体报道称,有权限查看并有可能泄露信息的源头,主要有机票代理商、航空公司工作人员、中航信工作人员,以及黑客这四大类人群。他们通过不同渠道和权限,在Eterm系统上查到乘客详细资料。
4月21日,《南方都市报》曾就Eterm系统报道称,经销商在中航信处购买Eterm系统后,中航信通常只会发出相应的单独账号,然而这一账号可以通过软件分出数个登录小号。这套软件任何人都可以下载,下载安装之后,只要有登录账号就可以访问中航信的数据库。
5月10日,记者在相应QQ群、贴吧等网友集中的网站发现,数家出租出售Eterm系统的商家混杂其中。而系统租赁价格也按照查询功能多少,从数百元到近万元不等。
“你只要购买航司B系统,能查到相关信息。”得知记者意欲查阅行程信息时,一位商家热情推荐到,“通过这个系统,你能查到包括身份证、姓名、联系方式、常用旅客卡等多个信息。”
由于从Eterm系统源头到乘客,中间经历了中航信、航空公司、票代、在线订购网站、第三方航空APP等多个环节。每个环节都存在信息泄露的可能性,也导致乘客在维权时,因无法精准地找到泄露源头,不得不面临着“取证困难”的困局。
实际上,中国民用航空局曾于2017年2月就《民航网络信息安全管理划定(暂行)(征求意见稿)》公开征求意见。
其中针对“退改签诈骗”、“航空诈骗”等问题做出规定:民航各单位应当制定旅客信息保护轨制,对在提供服务过程中收集、使用的旅客信息,应当采取相应措施严格保护,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。而对于此前曾多次爆出信息泄露的第三方平台,更是强调称,民航各单位将旅客信息转移或委托给其他组织或机构使用的,应当签订旅客信息保护协议,明确旅客信息使用范围和保护责任。
“规定具体能带来怎样的效果,现阶段谁也说不清楚。”前述多年从事航空管理工作人士称,“多个泄密渠道的存在,导致现在谁也不知道自己的信息被多少人掌握。”