航空APP現漏洞:80元買到鹿晗航班行程 證件號都銷售

　　微信賣家在朋友圈叫賣國內藝人相關航班資訊。

　　林琳的APP上突然多出的航班資訊。

　　記者購買鹿晗航班資訊。

　　一家航空公司官網上，能查到他人登機資訊。

　　APP洩露航班資訊 80元買到鹿晗航班行程

　　APP系統“漏洞”，航班可能被他人取消；明星證件號、護照號售80元-500元不等價格，身份證、姓名即可查航班資訊

　　5月9日，最高人民法院通報了《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》。

　　這是兩高首次就打擊侵犯公民個人資訊犯罪出臺司法解釋。根據此次司法解釋，非法獲取、出售公民個人資訊，情節嚴重者可獲刑。

　　“近年來，侵犯公民個人資訊犯罪仍處於高發態勢，而且與電信網路詐騙、敲詐勒索、綁架等犯罪呈合流態勢，社會危害更加嚴重。”最高法相關人士稱。

　　我們幾乎每個人，都曾被推銷電話、詐騙短信騷擾過。去年發生的“徐玉玉案”，即是個人資訊遭侵犯導致的“惡果”。

　　在此節點，新京報推出關於“個人資訊洩露”的系列調查報道。我們將通過對航空、徵信、銀行卡等領域的調查，以期找到個人資訊洩露的源頭。

　　“不知道有多少人手中握著我的資料和資訊。”一次偶然的“退票”風波，讓林琳（化名）發現自己的資訊在網上暴露了。

　　更嚴重的是，外人能夠通過手機APP對林琳的飛機票進行退票、改簽等操作。

　　新京報記者調查發現，航空APP如今正成為乘客航班資訊洩露的重要渠道，資訊洩露的渠道包括了部分航空公司的官方APP、第三方航班APP以及航空公司的官網。

　　“只要知道明星的姓名和身份證號，能把他的預出行行程全部查到。”一位在網上販賣明星行程的商家稱。

　　新京報記者獲知，明星的航班報價按照飛行區域不同，每條價格在15-40元左右。記者在花費80元後，即獲得兩份鹿晗近期的航班資訊。此外，記者還花45元獲得了兩份周傑倫近期的航班資訊。

　　航空公司APP 飛倫敦航班被取消 誰動了我的機票？

　　直到現在，林琳都不知道究竟有多少人手中握有自己的個人資訊。由於航空公司APP系統錯誤，林琳飛倫敦的機票被他人給取消了。

　　機票被他人通過APP取消

　　4月19日，林琳接到一家航空公司官方APP發來的資訊，稱她于2月初所預訂的從北京飛往英國倫敦的機票，已經成功退票，所支付金額也將於近期內返還至其銀行賬戶當中。

　　“我根本就沒申請過退票！”林琳詫異之餘，隨即聯繫到該航空公司客服。儘管再三解釋，但客服一再稱，根據系統所顯示的情況，這一行為正是林琳于兩天前通過APP軟體操作所致。

　　“客服建議我回憶下近期的操作，看是不是不小心誤點了。”林琳説，“這不可能，就算再不小心，也不會出現誤點取消情況。”

　　後來，林琳打開該APP時發現，軟體“常用乘機人”頁面裏，除自己資訊外，還多出了三四個陌生人的資料。

　　疑惑之下，林琳看到，這些關聯人士年齡從20多歲到50多歲不等，身份證號碼顯示地址也分散在全國各地；同時這些關聯人資料中除了姓名聯繫方式外，還清楚地顯示著相應身份證號碼、開戶銀行和卡號。而在APP“全部行程”一欄中，也發現多了數十條不屬於自己乘坐航班線路的行程。

　　4月19日，新京報記者根據林琳發來的截圖，聯繫上幾位關聯人士。這些人士稱，他們對自己的資訊出現在航空APP裏，完全不知情。

　　“幾個月前下載註冊APP時，確實發現常用登機人裏面有幾個不認識的。但當時以為是系統自動推送的假資訊，所以一直沒有理睬。”一位關聯人士説。

　　新京報記者説明來意後，另一位關聯女士周紅（化名）則説，是自己前幾天取消了林琳的航班。

　　“我當時完全不知道情況。”周紅稱，此前她因為出差，曾在這家航空公司的APP上購買了機票，在瀏覽航班是否訂票成功時，發現APP行程裏有一班從北京飛往英國的航班提示。

　　從沒有訂過此航班的周紅，認為遇到了詐騙資訊，隨即選擇取消。

　　這意味著，該APP上的幾位關聯人士之間，不但能彼此了解對方的各種身份資訊，同時還能接收對方的飛行行程、訂票資訊，更能取消他人的機票航班。

　　“太可怕了。”得知機票被取消原委後的林琳很是吃驚。經過與航空公司客服人員的數次交涉後，林琳獲得了補償措施：由她重新購買機票，再由航空公司補差價。

　　存在已久的系統漏洞

　　“這是航空APP系統臨時出現漏洞。”4月下旬，林琳聯繫到該APP的一位工作人員，該APP工作人員回復林琳稱，“系統出現錯誤，導致用戶賬戶出現串聯。”

　　對方作出“立即為她修改漏洞”承諾後的十多分鐘後，當林琳再次登錄APP時發現，上面的陌生關聯人已被清除，但仍有數條其他關聯人所使用的行程。

　　當林琳再度聯繫上該航空APP工作人員時，對方解釋為“正在處理”。半個多小時後，關聯人的所有資訊才被徹底清除。

　　事實上，新京報記者發現，這款航空公司APP系統出現“客戶資料洩露”問題並非個例；早在數月前就有不少網友發帖稱，自己的APP上出現“不明陌生人”、“他人行程”等問題。

　　其中，一位網友就在帖子中説，“每次登錄都能刷出其他不同人的身份資訊”，“那是不是我寫個腳本一直刷就能獲得一大批身份資訊？”

　　“作為國內知名的航空公司，這家航空公司在APP這些細節問題上並沒有讓乘客感到完全安心。”一位航空行業資深專家説。

　　有數據顯示，2016年，該航空公司會員達到4297萬人。龐大的乘客數據，也意味著可能因為該款航空APP的系統“漏洞”，導致更多乘客的資訊洩露。

　　5月9日，新京報記者聯繫上該航空APP的工作人員，試圖就這一資訊洩露事件，以及系統軟體恢復情況進行諮詢。對方以“個人不能接受採訪”為由婉拒。隨後新京報記者發送採訪函給該航空公司相關部門，截至記者發稿，未獲對方回復。

　　航班管家 證件號能查明星航班

　　新京報記者調查發現，一些第三方航空軟體，也在航空資訊方面存在漏洞。5月10日，記者在微博、微信和QQ群裏，發現數個專營出售演藝明星航空資訊的商家。

　　記者加上一位名為“追星小助手”的微信號，其微信資料寫著“專職銷售‘明星航班’資訊”。其朋友圈中，每天詳細更新著鹿晗、張藝興、迪麗熱巴等數十位當紅藝人最新的航班日程，以及起始地址。

　　“你想要誰的行程都可以。國內航班資訊每條15元，港澳臺以及國際航班資訊30元一條。”“追星小助手”介紹説。

　　新京報記者在其朋友圈內看到，除了明星航班資訊外，就連對方證件號、護照號都在以80元-500元不等的價格進行銷售。

　　記者隨即以“鹿晗粉絲”為名，希望得到其最新的行程。而對方解釋由於“鹿晗太火了”，所以要價也比普通藝人費用更高一些。

　　在支付了80元後，對方很快發來了鹿晗的航班行程：5月17日從北京首都機場乘坐海航HU79××航班飛往捷克布拉格，5月19日乘坐海航HU79××從捷克布拉格返回北京首都機場。

　　記者隨後在網上查詢發現，鹿晗所參加的綜藝節目《奔跑吧》最後一期錄製場地正是位於捷克。

　　當記者諮詢能否查詢普通乘客班机編號時，“追星小助手”表示，“只要50元學費，能傳授方法”，並承諾學會後能查詢任何人的航班預出行資訊。

　　經過不到20分鐘的“教學指導”後，新京報記者發現查詢方法，即是通過航班管家這些第三方航程APP的系統漏洞進行查詢。但必要前提是需要知道對方的相關證件資訊。

　　記者註冊航班管家APP過程中，“追星小助手”特意一再叮囑“姓名、身份證都能隨便填，但手機號一定要留自己的，方便接收驗證碼。”

　　進入APP後，記者在“行程服務”中點擊“手機值機選座”選項，在“憑證號”以及“姓名”處輸入同事的身份證號碼和姓名後，開始選擇不同的航空公司進行“辦理值機”嘗試。

　　最終，記者在切換到一家航空公司後，順利找到同事10分鐘前所預訂的由北京飛往青島的航程資訊。點擊進入後，同事姓名、航班起始地點、飛行日期、班机編號以及座位號等相關資訊均被詳細顯示出來。

　　“如此一來，你想查誰的登機情況都能輕鬆查到，到時候你還可以選擇他相鄰的座位。”“追星小助手”説。

　　資料顯示，航班管家由活力世紀科技（北京）有限公司製作，業務範圍包括酒店查詢及預訂、航班動態查詢以及手機值機等。

　　2017年1月，移動網際網路數據研究機構貴士移動報告稱，航班管家如今線上用戶數量達到424萬人，在同行中位列第一。2015年其交易額更是達到近200億元，穩居國內航空APP市場前三位置。

　　5月11日，新京報記者就資訊洩露情況欲聯繫航班管家相關負責人，手機無人接聽，隨後發送短信，截至發稿未獲回復。

　　航空公司官網 “值機”系統可改他人座位

　　“不僅僅是第三方APP，就連很多航空公司官網都存在資訊漏洞。”5月9日，一位兜售航班資訊的商家介紹説，“很多航空官網上，都能查到陌生人航班資訊。”

　　為了證明“所言非虛”，他向記者發來一份“查詢指南”。指南稱，不同航空公司，存在著不同的查詢方法；“指南”上還詳細地標明乘客在往返國內幾個大城市之間時，所最常用的航空公司選擇名單。

　　5月9日，新京報記者登錄一家航空公司官網。按照上述流程指導，在輸入同事姓名以及身份證號後，網站沒有任何身份真假驗證流程即轉跳到相應航班頁面。

　　該頁面清楚地顯示出記者同事所預訂航班的飛行時間、飛行地點，以及所選擇的座位等資訊。新京報記者還發現，當點擊對方座位資訊時，網站系統還提示可以進行“退座重選”的操作。

　　“其實很多航空公司官網都存在或多或少的漏洞。”5月10日，一位航空行業資深人士説，“通常航空公司只確定乘客姓名和身份證即可，但很少對手機進行綁定，所以很多資訊正是從這一漏洞洩露出去。”

　　新京報記者登錄幾家知名航空公司的官網也發現，在辦理登機流程時，只需要輸入相應身份證和用戶姓名即可，並沒有通過註冊時所綁定的手機號進行短信驗證這一環節。

　　事實上，在多位“商家”傳授航班資訊查詢方法時都特意叮囑，查詢者的姓名、身份證號碼可以隨便填寫，但“務必要用自己的手機號碼”。其原因正是“方便提示輸入手機驗證碼時，好用來接受短信”。

　　“很難想像這種大型航空公司會出現如此漏洞。”上述商家對新京報記者説，“一家航空公司會員有3000多萬人，這給了我們極大的利益空間。”

　　當記者向該商家諮詢每月以“查詢航班”的模式賺多少錢，他稱，“幾千到上萬元”，“很多做得好的，每個月動輒近十萬元”。

　　■ 延伸

　　航空資訊洩露渠道多 乘客維權取證難

　　“第三方APP以及官網所造成的資訊洩露，只是整個航空行業冰山一角。如今航空資訊洩露源頭實在太多。”5月10日，一位多年從事航空管理工作的人士稱，“泄密涉及環節太多，根本不清楚究竟是哪一環出現問題。”

　　新京報記者在調查時發現，儘管資訊洩露渠道繁多，但源頭指向了中航信Eterm系統。所謂Eterm系統，即為民航旅客訂座系統，其是中航信資訊系統下屬系統之一。如今國內各大航空公司的訂票系統，基本都使用的是中國民航資訊集團公司系統。而這款系統面向航空公司、機場、機票銷售代理等機構，主要提供航空客運業務、航空旅遊電子分銷等服務。

　　作為中航信系統核心之一，Eterm系統不僅可以查到航班的座位預訂情況，還能詳盡地查閱到每班航班上的訂位編碼，乘客的座位、艙位、姓名、證件號、電話號碼等諸多隱私資訊資訊。

　　此前曾有國內媒體報道稱，有許可權查看並有可能洩露資訊的源頭，主要有機票代理商、航空公司工作人員、中航信工作人員，以及駭客這四大類人群。他們通過不同渠道和許可權，在Eterm系統上查到乘客詳細資料。

　　4月21日，《南方都市報》曾就Eterm系統報道稱，經銷商在中航信處購買Eterm系統後，中航信通常只會發出相應的單獨賬號，然而這一賬號可以通過軟體分出數個登錄小號。這套軟體任何人都可以下載，下載安裝之後，只要有登錄賬號就可以訪問中航信的數據庫。

　　5月10日，記者在相應QQ群、貼吧等網友集中的網站發現，數家出租出售Eterm系統的商家混雜其中。而系統租賃價格也按照查詢功能多少，從數百元到近萬元不等。

　　“你只要購買航司B系統，能查到相關資訊。”得知記者意欲查閱行程資訊時，一位商家熱情推薦到，“通過這個系統，你能查到包括身份證、姓名、聯繫方式、常用旅客卡等多個資訊。”

　　由於從Eterm系統源頭到乘客，中間經歷了中航信、航空公司、票代、線上訂購網站、第三方航空APP等多個環節。每個環節都存在資訊洩露的可能性，也導致乘客在維權時，因無法精準地找到洩露源頭，不得不面臨著“取證困難”的困局。

　　實際上，中國民用航空局曾于2017年2月就《民航網路資訊安全管理劃定（暫行）（徵求意見稿）》公開徵求意見。

　　其中針對“退改簽詐騙”、“航空詐騙”等問題做出規定：民航各單位應當制定旅客資訊保護軌制，對在提供服務過程中收集、使用的旅客資訊，應當採取相應措施嚴格保護，不得洩露、篡改或者毀損，不得出售或者非法向他人提供。而對於此前曾多次爆出資訊洩露的第三方平臺，更是強調稱，民航各單位將旅客資訊轉移或委託給其他組織或機構使用的，應當簽訂旅客資訊保護協議，明確旅客資訊使用範圍和保護責任。

　　“規定具體能帶來怎樣的效果，現階段誰也説不清楚。”前述多年從事航空管理工作人士稱，“多個泄密渠道的存在，導致現在誰也不知道自己的資訊被多少人掌握。”