IT时报记者 潘少颖

4月25日,本报报道了《电话诈骗瞄准机票退改签》,一位读者因轻信了假冒航空公司发来的机票退改签的短信提示,在拨打所谓的400客服电话后,5万多元不翼而飞,后经确认,航班根本没有取消。据了解,最近收到过此类“航班取消”诈骗短信的用户不在少数,“就因为他们把我的个人信息全都说准了,我才相信的,我的信息他们是怎么知道的?”收到过此类短信的用户都发出了这样的疑问。

究竟是哪个环节出现了问题?记者从业内人士处了解到,有可能是机票销售系统存在问题,机票销售系统里存有乘机人的大量信息,包括身份证、航班号等,但对此系统的监管不严。

代理商能“越权”拿到信息

多家机票代理商告诉记者,目前航空公司和机票代理商普遍使用的都是中国民航信息集团公司(7.66, 0.00, 0.00%)(下称“中航信”)的eTerm机票销售系统。记者在其官网上看到,中航信的主营业务是面向航空公司、机场、机票销售代理、旅游企业及民航相关机构和国际组织,提供航空客运业务处理、航空旅游电子分销、机场旅客处理、航空货运数据处理、互联网旅游平台、国际国内客货运收入管理系统应用和代理结算清算等服务,而其开发的eTerm机票销售系统可以实现查询、预订、出票、退改签等一系列的操作。eTerm机票销售系统中又分为C系统(代理人系统)、B系统(航空公司系统)、J系统(离港系统)三种,分别对应不同的使用者。

记者拨打了中航信北京总部的电话,一直占线,随后记者联系了其控股的上海民航华东凯亚系统集成有限公司。工作人员告诉记者,C系统是专门针对机票代理人的,只可查看所属航空公司的航班信息,如果想提取订位编码(PNR)(如姓名、身份证、电话号码、航班等),还需要授权。B系统的权限则比C系统要大,可以查询航班座位销售情况、出票数与预订数和某个航班上出票的订位编码等。

机票代理商徐小姐告诉记者,代理商也要看上座率等信息,C系统不够用,所以想要用B系统。

B系统权限疑外流

对于代理商来说,要用上B系统不是难事。“网上有专门出租B系统的商家。”徐小姐告诉记者。

记者在网上搜索了B系统出租,就跳出多家商户。“全航B系统3000元一个月,可以查多家航空公司,单航B系统只能查某家航空公司,便宜一些。可以查到乘机人的姓名、航班号、身份证等信息,但手机号码是隐藏的,需要航空公司授权。”一位卖家告诉记者。记者询问如何得到航空公司授权时,该卖家表示要看和航空公司的关系,一些大代理商就可以弄到。

当记者表示如果租用,需要提供什么材料时,该卖家表示只需提供公司名和电话即可,记者再次询问个人是否可以租用,卖家表示可以,而且只需提供联系方式。该卖家还提醒记者,B系统会记录每一次操作,如果后台发现用户进行采集信息的操作,则会被停用系统,但如果只是看看或者查询,则没有问题。但当记者问起B系统的来源时,该卖家表示不便透露。

小王是某航空公司员工,他告诉记者,大代理商是信息泄露的源头之一,但航空公司内部对系统使用权限管控也不严。“权限高的或者对系统很熟知的人完全可以查到乘机人的所有信息。”小王说。

对B系统外流到代理商或者个人手里,上海民航华东凯亚系统集成有限公司工作人员表示,系统用户每个人都有一个登录名和密码,后台也是根据用户登录后所执行的指令来判断是否在采集用户信息,外流现象很难完全避免。

相关内容:

揭露一个飞机退改签的诈骗:借口机票退改签要退款,索要银行卡号,套取个人信息

Angry Birds和广告系统泄露个人信息——FireEye对Angry Birds的分析

小米手机客户资料泄露了吗?冒充小米售后回访诈骗电话:01053799231

发个社工福利站,搜库 - 密码泄露查询,社工库,泄露密码查询库

京东惨招恶意炒作,数据库泄露为撞库攻击

2000万条酒店开房数据泄露 男子婚事被搅黄

开房数据泄露案告破 警方发现嫌犯曾参与多起网络犯罪

京东 淘宝 天猫订单信息泄露诈骗, 接到“京东”的客服电话之后遭遇团伙诈骗

adobe 1.5亿泄露数据 密码算法逆向挑战

怪异!10086短信接口泄露?10086发博彩、赌博短信

病患信息遭泄露 骗子假扮医生短信要红包

腾讯泄露隐私?看卫士哥获得女神的好友的名单,社工可能认识的人!

Carberp源代码泄露后续——黑掉黑客

DNS域传送信息泄露

如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?

关机后仍能提取出内存中的关键信息,计算机关闭后内存数据泄露

中国电信ADSL宽带信息泄露,可查任意IP对应的宽带账号,电话号码,上门砍人

某些搜索引擎超科幻搜索结果,泄露了不只一点点

苹果欲建造内部食堂 防止保密信息泄露

美国色情网站遭黑客袭击 7.3万用户资料泄露

Mydecms 贤诚文章管理系统泄露数据库账号、密码、库名漏洞

互联网信息办公布用户信息泄露事件查处情况

2012年新浪微博用户密码泄露漏洞(图片解析)

目前我认为是2011密码泄露事件最合理、最符合实际的一个解释

索尼又遭黑客攻击 或致9万余份用户信息泄露

美国军方遭黑客袭击 泄露大量秘密信息

艺电称旗下一网站遭攻击 用户资料泄露

囧事 知名反病毒厂商卡巴斯基源代码泄露

【文章】8.9 泄露密钥 对称密码 私/密钥泄露

【文章】4.13 秘密的全或无泄露 ANDOS协议

【漏洞】Microsoft IE CSS处理跨域信息泄露