央广网财经1月31日消息 据经济之声《天下公司》报道,春节快要到了,国内运输部门的客流量增加,某些环节存在的问题现在也暴露出来。国内最大的漏洞发布平台乌云网披露了多起航空公司旅客个人信息泄露漏洞,仅1月29日一天,就有5条涉及航空公司的漏洞得到公司确认。
《天下公司》就此事采访了乌云网联合创始人孟卓,据他介绍,遭到泄露的乘客个人信息包括乘客姓名、联系方式、乘坐航班的情况等等:
孟卓:泄露的的信息包括票务信息和航空公司内部员工的一些个人信息。可能各个航空公司都有所不同,但是一般都是乘客的姓名、坐哪天的航班、联系方式等等。
1月29日,乌云公开了“东方航空预付费卡系统沦陷”的漏洞。报告称,这个漏洞可导致客户信息及预付费卡账号泄露,预付卡6位数字密码可被破解,旅客姓名、身份证号、手机号码可能泄露。
东航表示,预付卡系统并无漏洞,乌云的“白帽子”工程师采取了暴力攻击的方式才进入系统。东航方面强调,如果采取暴力攻击的方式,那没有系统是绝对安全的。目前,他们已经采取了安全强化措施对系统进行了加固,现在用户账户是安全的。
不只是东航,在确认系统漏洞的企业中,还包括包括厦门航空、上海航空以及值机常用的APP软件航旅纵横等。乌云漏洞报告指出,厦门航空B2B管理系统沦陷,可查任意乘客机票信息、修改任意代理机构密码、添加代理商等。
对此,厦门航空在确认漏洞的同时表示,这个系统为旧系统,已经停用两年,近期由于内部原因重新打开测试,里面并没有存放旅客信息,近期就将关闭。厦门航空认为,这个漏洞的影响不应该被夸大。
乌云网联合创始人孟卓表示,目前航空公司的客源信息泄露主要来源于两大方面,一是系统设计漏洞,二是内部人员安全和管理意识不够,这些系统漏洞可能会导致旅客出行和未出行航班信息泄露。但信息泄露并非仅仅是航空公司导致的,中航信系统、机票代理商、可以购买机票的旅游网站,都可能因漏洞导致旅客关键信息被盗。
网络安全专家赵占领认为,航空公司、票代、互联网售票平台都拥有旅客个人信息,信息泄露的原因可能是有内鬼盗取数据,也有可能是系统受到黑客攻击。问题是,黑客盗取这些信息用来干什么呢?乌云网联合创始人孟卓说,在黑市上,有人出高价购买这些信息,每条可以卖到20元以上:
孟卓:最近白帽子说自己的信息也被买过,所以他想办法联系到了一些卖家,有人开价20块钱一条。具体是什么人买我们不知道,但是从最近的情况来看,应该是一些搞诈骗的人在买。
那么,出高价买这些信息的人又是为了什么呢?孟卓告诉我们,这些信息可以帮助犯罪团伙进行精准的诈骗:
孟卓:这个在网上现在非常非常多,很多网友都遇到了。他可能会在你飞机起飞的前几天,突然给你发一个短信。首先他知道你是谁,你的手机号、你的航班是几点的,你的航班号是多少。然后告诉你这个飞机有故障,航班被取消了,要么退票或者改期,给你留一个400开头的电话,你拨过去以后还是挺逼真的,是自动接听然后转人工,转人工以后在骗你的钱。
不少网友反映,他们也遇到过这种情况,后来之所以没上当,是因为他们都直接给航空公司打电话确认,发现航班并没有取消。
今天还有网友抱怨说,其实不光是航空公司在系统有漏洞,还有研究生考试、各种从业考试,从你报名的第一天起,天天都能收到各种骗子或者广告的问候。事实上,现在我们这种事情已经见怪不怪。有IT业人士说,在网络时代,已经没有隐私可言了。
有律师表示,现在个人数据泄露之所以难以杜绝,一方面是涉及环节较多,不好发现问题出在哪里。另一方面,违法成本低,维权很难。如果走民事途径,不知道该起诉谁;如果走刑事途径,除非能揪出内鬼或黑客,否则不能立案。
乌云网联合创始人孟卓认为,作为客户,我们不能对于个人信息泄露问题麻木不仁,只有我们自己重视起来,才能让企业和其他机构做好他们该做的事:
孟卓:首先用户自己要重视起来,要向企业反馈。用户一旦重视起来,企业或者其它机构才能重视起来。他们重视这件事之后,我们觉得情况才能有所改善。