多家航空公司資訊洩露漏洞被公佈 回應:均不賣帳

　　據中國之聲《新聞縱橫》報道，就在幾天前，國內最大的漏洞發佈平臺披露了多起航空公司旅客個人資訊洩露的漏洞。這個平臺是烏雲網。記者了解到，包括旅客姓名、航班資訊、身份證號、手機號在內的旅客個人資訊在資訊販子手中的價格每條竟然高達20元，這些資訊經過黑色産業鏈條，最後成了逼真的退改簽詐騙短信。

　　記者昨天（31日）在烏雲網上看到，僅1月29日一天就有5條涉及航空公司的漏洞得到公司確認，內容涉及：航空公司B2C系統淪陷，千萬機票資訊可以查看；民航出入境API系統邏輯缺陷，導致出入境實時數據洩露；航空公司內部員工郵箱賬號和密碼洩露，可登錄公司內部郵件系統。不過，漏洞的細節並未進入到公開流程，還處於保密階段。

　　對於烏雲漏洞報告指出的問題，航空公司似乎並不賣帳。東航方面稱，預付卡系統並無漏洞，烏雲的“白帽子”工程師採取了暴力攻擊的方式才進入系統。並稱“如果採取暴力攻擊的方式，那沒有系統是絕對安全的。”廈門航空則在確認漏洞時表示，該系統為舊系統，已停用2年，近期由於內部原因重新打開測試，裏面並未存放旅客資訊，近期就將關閉。他們認為“這個漏洞的影響不應該被誇大。”同樣，遭到烏雲網點名的“航旅縱橫”負責人—中航信移動科技有限公司總經理薄滿輝在接受本台記者採訪時也表示：目前因為資訊不對稱，他們對烏雲所提及的漏洞細節並不清楚，但對APP軟體航旅縱橫信心滿滿。

　　薄滿輝：單純從他這個網上來看的話，我們查了一下是1月23日和我們相關的，但是寫的是航旅縱橫的官網，但是如果是單純的官網，確實我們的功能還是非常的簡單，它的定位僅僅只是一個展示，一個品牌的宣傳，以及基本功能的一個搭載，它跟用戶是隔離的，理論上是不存在在官網上把用戶資訊獲取的問題。APP方面我們在資訊安全方面的投入上非常非常的大，包括涉及用戶敏感的地方：傳輸、存儲啊全部採用的是加密的手段的，我們自身不定期也會模倣駭客，去不定期的去掃描、攻擊我們的自身系統，排查安全隱患，一旦發現安全隱患就會及時排除，我們採取的措施還是蠻多的。

　　面對多家航空公司和機構的回應，烏雲網合夥人鄔迪堅持認為：烏雲的報告是在用數據“説話”，並非空穴來風。

　　鄔迪：我們數據所有的漏洞都是最終都會公開的，所以我們都是會説真實的情況，因為公開以後如果這東西不符合事實，其實相當於我們自己打自己臉，但是航空公司或者其他的像運營商我們爆出一些漏洞，他們也説那是試驗系統，但是實際上那些東西真的都不是試驗系統，從漏洞的角度來講，我們覺得烏雲還是更可信一些的。

　　鄔迪坦言目前航空公司、票代、網際網路售票平臺都擁有旅客個人資訊，因此，旅客資訊洩露的原因並不是很好判斷，既可能有內鬼的原因，也可能是系統受到駭客攻擊造成的。

　　鄔迪：一種原因就是他自己的管理的問題，比如説有人他確實往外去賣出去什麼，這個在很多行業都存在。就是他最終的，一個是中國所有的機票，除了春秋航空以外，所有的機票系統是從那個總航信，那這個系統是一個集中的系統，所有航空公司出票都要從這個系統走。那這個系統是一個最頂端的一個環節，然後再往下就是各個航空公司，然後航空公司它還有代理商，代理商還能發展下一位代理商，就是整個這一條線上的所有人都可以接觸到這個數據，但是如果這個一條線上，任何一個點有人去賣出去的話這個可能性都是有的，那這個是管理的問題了。第二個就是系統可能存在的一種安全的漏洞的問題，沒有專職的人去負責安全，系統這種安全漏洞其實挺嚴重的，所以通過這些渠道的話就是駭客有人想去拿到數據，我們覺得還是有各種辦法能拿的。

　　360安全專家趙武認為，在網際網路高度發達的今天，個人資訊似乎真是有些防不勝防的意味。

　　趙武：以前的資訊化不會介入網際網路，但是現在越來越多的就是無紙化辦公導致以前內部的系統都已經上到網際網路上，入口多了。不是廠商沒有修護，其實在安全上有投入，但是投入的入口太多了，對網際網路公開的口太多，所以會導致疏忽的地方，而這些疏忽的地方對駭客來説就是很大的切入點。（記者郭淼 馬闖）