【明報專訊】據《京華時報》報道,春運將近,國內最大的漏洞發布平台烏雲網披露了多宗航空公司旅客個人信息泄露漏洞。記者了解到,包括旅客姓名、航班信息、身分證號、手機號在內的旅客個人信息在信息販子手中的價格每條竟然高達20元,這些信息經過黑色產業鏈條,最後成為了逼真的退改簽詐騙短訊。
機票信息可任意查閱
記者30日在烏雲網上看到,僅1月29日一天就有5條涉及航空公司的漏洞得到公司確認,內容涉及航空公司B2C系統淪陷,千萬機票信息可以查看;民航出入境API系統邏輯缺陷,導致出入境實時數據泄露;航空公司內部員工郵箱帳號和密碼泄露,可登錄公司內部郵件系統。
1月29日,烏云「白帽子」(正面的黑客,可以識別計算機系統或網絡系統中的安全漏洞,但並不會惡意去利用,而是公布其漏洞)「路人甲」公開了「東方航空預付費卡系統淪陷」的漏洞。報告稱,該漏洞可導致客戶信息及預付費卡帳號泄露,預付卡6位數字密碼可爆破(解碼),旅客姓名、身分證號、手機號碼可能泄露。
烏雲網數據顯示,目前東航方面已經確認了該漏洞。不只是東航,記者看到,在烏雲公布的已被企業確認的系統漏洞中,近期涉及航空業的佔到相當比例,包括廈門航空、上海航空以及值機常用的APP軟件航旅縱橫等。
烏雲漏洞報告指出,廈門航空B2B管理系統淪陷,可查任意乘客機票信息、修改任意代理機構密碼、添加代理商等。
金女士不久前訂了東航從北京飛往武漢的機票,然而就在起飛前一晚,當她在網上值機後卻意外地收到了一條署名為「東方航空」的提示短訊:「尊敬的金女士,您預訂的1月24日08:05北京—武漢航班由於機械故障不能起飛已取消,敬請諒解!請及時聯繫客服400-0335771辦理改簽或退票。退票和改簽額外補償200元,改簽收取20元工本費。」
這樣精準的詐騙短訊旅客信息究竟從何而來?烏雲網的一位資深「白帽子」告訴記者,為了搞清所泄露的旅客個人信息究竟怎樣變成逼真的退改簽詐騙短訊,他專門假扮買家購買信息,從黑產數據販子手中看到了旅客信息是交易的重點。
「白帽子」給記者展示的交易數據顯示,旅客姓名、航空公司、航班信息、起降時間、身分證號、手機號、票號信息應有盡有。而這樣的信息每條售價居然高達20元。