多家航企被曝系統漏洞
售個人信息每條20元
【本報訊】據《京華時報》三十一日消息:春運將近,國內最大的漏洞發佈平台烏雲網披露了多起航空公司旅客個人信息洩露漏洞。記者了解到,包括旅客姓名、航班信息、身份證號、手機號在內的旅客個人信息在信息販子手中的價格每條竟然高達二十元,這些信息經過黑色產業鏈條,最後成為了逼真的退改簽詐騙短信。
千萬機票信息可查
記者在烏雲網上看到,僅一月二十九日一天就有五條涉及航空公司的漏洞得到公司確認,內容涉及航空公司B2C系統淪陷,千萬機票信息可以查看;民航出入境API系統邏輯缺陷,導致出入境實時數據洩露;航空公司內部員工郵箱賬號和密碼洩露,可登錄公司內部郵件系統。
一月二十九日,烏雲“白帽子”(正面的黑客,可以識別計算機系統或網絡系統中的安全漏洞,但並不會惡意去利用,而是公佈其漏洞)“路人甲”公開了“東方航空預付費卡系統淪陷”的漏洞。報告稱,該漏洞可導致客戶信息及預付費卡賬號洩露,預付卡六位數字密碼可爆破(解碼),旅客姓名、身份證號、手機號碼可能洩露。
烏雲網數據顯示,目前東航方面已經確認了該漏洞。不只是東航,烏雲漏洞報告指出,廈門航空B2B管理系統淪陷,可查任意乘客機票信息、修改任意代理機構密碼、添加代理商等。對此,廈門航空在確認漏洞時表示,該系統為舊系統,已停用多時,近期由於內部原因重新打開測試,裡面並未存放旅客信息,近期就將關閉。
東航方面昨天則稱,預付卡系統並無漏洞,烏雲的“白帽子”工程師採取了暴力攻擊的方式才進入系統。
個人信息成為黑市
烏雲網的一位資深“白帽子”告訴京華時報記者,為了搞清所洩露的旅客個人信息究竟怎樣變成逼真的退改簽詐騙短信,他專門假扮買家購買信息,從黑產數據販子手中看到了旅客信息是交易的重點。
“白帽子”給記者展示的交易數據顯示,旅客姓名、航空公司、航班信息、起降時間、身份證號、手機號、票號信息應有盡有。而這樣的信息每條售價居然高達二十元。
非僅航空公司所致
據悉,目前航空公司的客源信息洩露主要來源於兩大方面,一是系統設計漏洞,二是內部人員安全和管理意識不夠,這些系統漏洞可能會導致旅客出行/未出行航班信息洩露。但信息洩露並非僅僅是航空公司導致的,中航信系統、機票代理商、可以購買機票的旅遊網站都可能因漏洞導致旅客關鍵信息被盜。
網絡安全專家趙占領認為,航空公司、票代、互聯網售票平台都擁有旅客個人信息,信息洩露的原因可能是有內鬼盜取數據,也有可能是系統受到黑客攻擊。