記者調(diào)查發(fā)現(xiàn),這些旅客個(gè)人信息經(jīng)過黑色產(chǎn)業(yè)鏈條��,最后成為了逼真的退改簽詐騙短信
春運(yùn)將近�����,國內(nèi)最大的漏洞發(fā)布平臺(tái)烏云網(wǎng)披露了多起航空公司旅客個(gè)人信息泄露漏洞����,包括廈門航空、上海航空以及值機(jī)常用的APP軟件航旅縱橫等��。
記者30日在烏云網(wǎng)上看到��,僅1月29日一天就有5條涉及航空公司的漏洞得到公司確認(rèn)�����,內(nèi)容涉及航空公司B2C系統(tǒng)淪陷�����,千萬機(jī)票信息可以查看�����;民航出入境API系統(tǒng)邏輯缺陷�����,導(dǎo)致出入境實(shí)時(shí)數(shù)據(jù)泄露;航空公司內(nèi)部員工郵箱賬號和密碼泄露��,可登錄公司內(nèi)部郵件系統(tǒng)��。
東航預(yù)付費(fèi)卡系統(tǒng)淪陷
1月29日�����,烏云“白帽子”(正面的黑客����,可以識別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但并不會(huì)惡意去利用��,而是公布其漏洞)“路人甲”公開了“東方航空預(yù)付費(fèi)卡系統(tǒng)淪陷”的漏洞����。報(bào)告稱,該漏洞可導(dǎo)致客戶信息及預(yù)付費(fèi)卡賬號泄露�����,預(yù)付卡6位數(shù)字密碼可爆破(解碼)����,旅客姓名��、身份證號、手機(jī)號碼可能泄露����。
烏云網(wǎng)數(shù)據(jù)顯示,目前東航方面已經(jīng)確認(rèn)了該漏洞�����。烏云網(wǎng)創(chuàng)始人之一孟卓告訴記者����,這個(gè)漏洞的細(xì)節(jié)還未進(jìn)入到公開流程,處于保密階段��。但該漏洞可能會(huì)導(dǎo)致預(yù)付卡中的錢被盜取��。
不只是東航����,記者看到,在烏云公布的已被企業(yè)確認(rèn)的系統(tǒng)漏洞中�����,近期涉及航空業(yè)的占到相當(dāng)比例,包括廈門航空�����、上海航空以及值機(jī)常用的APP軟件航旅縱橫等�����。
廈門航空稱系舊系統(tǒng)
烏云漏洞報(bào)告指出�����,廈門航空B2B管理系統(tǒng)淪陷��,可查任意乘客機(jī)票信息����、修改任意代理機(jī)構(gòu)密碼、添加代理商等�����。
廈門航空在確認(rèn)漏洞時(shí)表示�����,該系統(tǒng)為舊系統(tǒng),已停用多時(shí)�����,近期由于內(nèi)部原因重新打開測試����,里面并未存放旅客信息����,近期就將關(guān)閉?�!斑@個(gè)漏洞的影響不應(yīng)該被夸大�����?���!睆B門航空方面表示,“里面的旅客信息是其他航空公司的信息��,我司已經(jīng)2年不用該系統(tǒng)����?�!?/font>
東航方面30日則稱����,預(yù)付卡系統(tǒng)并無漏洞��,烏云的“白帽子”工程師采取了暴力攻擊的方式才進(jìn)入系統(tǒng)����。“如果采取暴力攻擊的方式��,那沒有系統(tǒng)是絕對安全的��?����!睎|航方面表示��,目前東航已經(jīng)采取了安全強(qiáng)化措施對系統(tǒng)進(jìn)行了加固��,現(xiàn)在用戶賬戶是安全的。
提醒>
航空公司是95開頭的短號
詐騙電話大都是400開頭
臨近春運(yùn)��,市民們要提防“機(jī)票退改簽詐騙”卷土重來��。
據(jù)了解����,目前國內(nèi)航空公司官方客服電話和短信號碼統(tǒng)一為95開頭的短號,而大多數(shù)詐騙電話都是以400開頭或者是00開頭的網(wǎng)絡(luò)電話��。
海南航空客服對記者表示��,海南航空對于延誤����、取消的航班會(huì)通過短信和電話通知乘客��,官方號碼統(tǒng)一是95開頭的����,“不要相信網(wǎng)上或者短信中的400電話”。
此外��,消費(fèi)者可以在智能手機(jī)中裝航班信息APP�����,隨時(shí)掌握航班動(dòng)態(tài),避免上當(dāng)受騙�����。
案例>
“航班取消”騙局頻現(xiàn)
最近安徽合肥的闞女士買了機(jī)票準(zhǔn)備去外地����,就在出發(fā)之前,她突然收到了一條“航班取消”的短信�����,接下來的遭遇讓她始料未及�����。
這條短信告訴闞女士�����,由于航班出現(xiàn)故障����,需要辦理退票或改簽,作為補(bǔ)償,每位旅客可以獲得200元的航班延誤費(fèi)��。因?yàn)槎绦爬镄彰?����、航班����、起飛時(shí)間等信息都是吻合的,闞女士信以為真�����,就撥打了短信里的400電話�����。
撥通電話后����,闞女士根據(jù)語音提示�����,接通了人工客服。人工客服告訴闞女士機(jī)票就剩幾張了�����,如果改簽的話有延誤費(fèi)����,會(huì)返還兩百元,需要銀行提供的代碼����。因?yàn)橹备暮灆C(jī)票,闞女士也沒多想����,趕緊去了一家附近的ATM機(jī)。
接著電話那頭又提出了新的要求����。騙子先是問清楚了闞女士銀行卡里的余額,然后編造了一個(gè)所謂的“交易代碼”�����,讓闞女士沒有料到的是��,輸入這個(gè)代碼6053,實(shí)際上是轉(zhuǎn)賬6053元��。等到她明白過來�����,為時(shí)已晚����。闞女士隨后趕緊報(bào)了警,目前案件正在處理中�����。
據(jù)記者了解��,闞女士的遭遇并不是個(gè)別現(xiàn)象��,2014年8月廣州的一位曾女士就因?yàn)橥瑯拥南葳灞或_走了96萬����。
揭秘>
個(gè)人關(guān)鍵信息黑市每條賣20元
這樣精準(zhǔn)的詐騙短信中的旅客信息究竟從何而來����?
根據(jù)烏云網(wǎng)的監(jiān)測��,“航班取消”一類的詐騙手段其實(shí)在兩三年前就已經(jīng)發(fā)生����,雖然當(dāng)時(shí)他們也對外發(fā)出了預(yù)警��,但是效果并不理想����。
烏云網(wǎng)的一位資深“白帽子”告訴記者,為了搞清所泄露的旅客個(gè)人信息究竟怎樣變成逼真的退改簽詐騙短信��,他專門假扮買家購買信息��,從黑產(chǎn)數(shù)據(jù)販子手中看到了旅客信息是交易的重點(diǎn)��。
記者看到��,這位名為“陳飛”的數(shù)據(jù)販子是通過QQ進(jìn)行交易的�����,其QQ簽名上赫然寫著“每天早晨10點(diǎn)準(zhǔn)時(shí)出料�����,量大提前預(yù)訂,下午料5點(diǎn)出��,晚上料9點(diǎn)出��?���!?/font>
“白帽子”給記者展示的交易數(shù)據(jù)顯示,旅客姓名��、航空公司�����、航班信息��、起降時(shí)間��、身份證號��、手機(jī)號����、票號信息應(yīng)有盡有��。而這樣的信息每條售價(jià)居然高達(dá)20元。
“這些數(shù)據(jù)都是沒有起飛的航班信息�����,這樣才有做黑色產(chǎn)業(yè)鏈的價(jià)值��。印象中����,數(shù)據(jù)交易常見的都是幾分、幾毛錢��,多則幾塊�����,像這樣的高價(jià)確實(shí)讓人驚訝����。”上述“白帽子”告訴記者�����,聯(lián)系了多家數(shù)據(jù)販子之后�����,大部分人給出的價(jià)格每條都在20元以上,23元����、25元一條的也有。每天��,這樣的新數(shù)據(jù)有600-800條被賣出��?�!翱梢?���,機(jī)票詐騙有多暴利?�!彼f����。
解讀>
多個(gè)環(huán)節(jié)均可致信息泄露
孟卓表示,目前航空公司的客源信息泄露主要來源于兩大方面����,一是系統(tǒng)設(shè)計(jì)漏洞����,二是內(nèi)部人員安全和管理意識不夠����,這些系統(tǒng)漏洞可能會(huì)導(dǎo)致旅客出行/未出行航班信息泄露�����。但信息泄露并非僅僅是航空公司導(dǎo)致的�����,中航信系統(tǒng)�����、機(jī)票代理商��、可以購買機(jī)票的旅游網(wǎng)站都可能因漏洞導(dǎo)致旅客關(guān)鍵信息被盜�����。
網(wǎng)絡(luò)安全專家趙占領(lǐng)認(rèn)為,航空公司�����、票代����、互聯(lián)網(wǎng)售票平臺(tái)都擁有旅客個(gè)人信息,信息泄露的原因可能是有內(nèi)鬼盜取數(shù)據(jù)��,也有可能是系統(tǒng)受到黑客攻擊����。
上述白帽子也同意這樣的說法,“從數(shù)據(jù)販子拿到的信息看��,這些旅客信息更像是專業(yè)的代理系統(tǒng)�����、售票平臺(tái)出來的����。所以說重視安全管理才顯得重要?����!?/font>
趙占領(lǐng)告訴記者,個(gè)人數(shù)據(jù)泄露之所以難以杜絕����,一方面是涉及環(huán)節(jié)較多,不好發(fā)現(xiàn)問題出在哪里�����。另一方面��,違法成本低����,維權(quán)很難�����。如果走民事途徑����,不知道該起訴誰;如果走刑事途徑��,除非能揪出內(nèi)鬼或黑客,否則不能立案����。
