IT时报记者 潘少颖
4月25日,本报报道了《电话诈骗瞄准机票退改签》,一位读者因轻信了假冒航空公司发来的机票退改签的短信提示,在拨打所谓的400客服电话后,5万多元不翼而飞,后经确认,航班根本没有取消。据了解,最近收到过此类“航班取消”诈骗短信的用户不在少数,“就因为他们把我的个人信息全都说准了,我才相信的,我的信息他们是怎么知道的?”收到过此类短信的用户都发出了这样的疑问。
究竟是哪个环节出现了问题?记者从业内人士处了解到,有可能是机票销售系统存在问题,机票销售系统里存有乘机人的大量信息,包括身份证、航班号等,但对此系统的监管不严。
代理商能“越权”拿到信息
多家机票代理商告诉记者,目前航空公司和机票代理商普遍使用的都是中国民航信息集团公司(7.66, 0.00, 0.00%)(下称“中航信”)的eTerm机票销售系统。记者在其官网上看到,中航信的主营业务是面向航空公司、机场、机票销售代理、旅游企业及民航相关机构和国际组织,提供航空客运业务处理、航空旅游电子分销、机场旅客处理、航空货运数据处理、互联网旅游平台、国际国内客货运收入管理系统应用和代理结算清算等服务,而其开发的eTerm机票销售系统可以实现查询、预订、出票、退改签等一系列的操作。eTerm机票销售系统中又分为C系统(代理人系统)、B系统(航空公司系统)、J系统(离港系统)三种,分别对应不同的使用者。
记者拨打了中航信北京总部的电话,一直占线,随后记者联系了其控股的上海民航华东凯亚系统集成有限公司。工作人员告诉记者,C系统是专门针对机票代理人的,只可查看所属航空公司的航班信息,如果想提取订位编码(PNR)(如姓名、身份证、电话号码、航班等),还需要授权。B系统的权限则比C系统要大,可以查询航班座位销售情况、出票数与预订数和某个航班上出票的订位编码等。
机票代理商徐小姐告诉记者,代理商也要看上座率等信息,C系统不够用,所以想要用B系统。
B系统权限疑外流
对于代理商来说,要用上B系统不是难事。“网上有专门出租B系统的商家。”徐小姐告诉记者。
记者在网上搜索了B系统出租,就跳出多家商户。“全航B系统3000元一个月,可以查多家航空公司,单航B系统只能查某家航空公司,便宜一些。可以查到乘机人的姓名、航班号、身份证等信息,但手机号码是隐藏的,需要航空公司授权。”一位卖家告诉记者。记者询问如何得到航空公司授权时,该卖家表示要看和航空公司的关系,一些大代理商就可以弄到。
当记者表示如果租用,需要提供什么材料时,该卖家表示只需提供公司名和电话即可,记者再次询问个人是否可以租用,卖家表示可以,而且只需提供联系方式。该卖家还提醒记者,B系统会记录每一次操作,如果后台发现用户进行采集信息的操作,则会被停用系统,但如果只是看看或者查询,则没有问题。但当记者问起B系统的来源时,该卖家表示不便透露。
小王是某航空公司员工,他告诉记者,大代理商是信息泄露的源头之一,但航空公司内部对系统使用权限管控也不严。“权限高的或者对系统很熟知的人完全可以查到乘机人的所有信息。”小王说。
对B系统外流到代理商或者个人手里,上海民航华东凯亚系统集成有限公司工作人员表示,系统用户每个人都有一个登录名和密码,后台也是根据用户登录后所执行的指令来判断是否在采集用户信息,外流现象很难完全避免。
相关内容:
揭露一个飞机退改签的诈骗:借口机票退改签要退款,索要银行卡号,套取个人信息
Angry Birds和广告系统泄露个人信息——FireEye对Angry Birds的分析
小米手机客户资料泄露了吗?冒充小米售后回访诈骗电话:01053799231
发个社工福利站,搜库 - 密码泄露查询,社工库,泄露密码查询库
京东 淘宝 天猫订单信息泄露诈骗, 接到“京东”的客服电话之后遭遇团伙诈骗
腾讯泄露隐私?看卫士哥获得女神的好友的名单,社工可能认识的人!
如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?
中国电信ADSL宽带信息泄露,可查任意IP对应的宽带账号,电话号码,上门砍人
Mydecms 贤诚文章管理系统泄露数据库账号、密码、库名漏洞