【新唐人2015年1月31日訊】中國新年將至,中國多個航空公司被披露出,涉及旅客個人信息被洩露的消息。包括旅客姓名、航班信息、身份證號等信息,這些信息到每條至少被賣20元人民幣,每天,這樣的新數據有600——800條被賣出。這些信息還可成為退改簽的詐騙簡訊。
30日,中國新聞網轉載京華時報的報導,稱在烏雲網上看到,僅1月29日當天,就有5條涉及航空公司的漏洞得到公司確認,內容涉及航空公司B2C系統淪陷,千萬機票信息可以查看。
民航出入境API系統邏輯缺陷,導致出入境實時數據洩露,航空公司內部員工郵箱賬號和密碼泄露,可登錄公司內部郵件系統。
該漏洞可導致客戶,預付卡6位數字密碼可爆解碼,旅客姓名、身份證號、手機號碼可能洩露。
烏雲網創始人之一孟卓告訴記者,這個漏洞的細節還未進入到公開流程,處於保密階段。但該漏洞可能會導致預付卡中的錢被盜取。不只是東航系統淪陷,在烏雲公佈的已被企業確認的系統漏洞中,還包括廈門、上海航空以及值機常用的APP軟體航旅縱橫等。
烏雲漏洞報告指出,廈門航空B2B管理系統淪陷,可查任意乘客機票信息、修改任意代理機構密碼、添加代理商等。
廈門航空則回應稱,該系統為舊系統,裡面的旅客信息是其他航空公司的信息,其公司已經兩年不用該系統。
東航方面回應稱,預付卡系統並無漏洞,烏雲的「白帽子」工程師採取了暴力攻擊的方式才進入系統。目前東航已經採取了安全強化措施對系統進行了加固用戶賬戶是安全的。
不過,報導說,烏雲「白帽子」「路人甲」可以識別計算機系統或網路系統中的安全漏洞,但沒有惡意去利用,而是公佈了「東方航空預付費卡系統淪陷」的漏洞。
個人關鍵信息每條賣20元
用戶賬戶到底是不是安全的?報導說,不久前,金女士訂了東航從北京飛往武漢的機票,在起飛的前一晚,她收到了一條署名為「東方航空」的提示簡訊。
信中說:「尊敬的金女士,您預訂的1月24日08:05北京-武漢航班由於機械故障不能起飛已取消,敬請諒解!請及時聯繫客服400-0335771辦理改簽或退票。退票和改簽額外補償200元,改簽收取20元工本費。」
這樣的詐騙簡訊中的旅客信息是從哪來的?
烏雲網的一位資深「白帽子」告訴記者,為了搞清所洩露的旅客個人信息究竟怎樣變成逼真的退改簽詐騙簡訊,他專門假扮買家購買信息,從黑産數據販子手中看到了旅客信息是交易的重點。
交易數據顯示,旅客姓名、航空公司、航班信息、起降時間、身份證號、手機號、票號信息應有盡有。而這樣的信息每條售價高達20元。
這些沒有起飛的航班信息數據,才有做黑色産業鏈的價值,多家數據販子給出的價格每條都在20元以上,23元、25元一條的也有。每天,這樣的新數據有600——800條被賣出。
網路安全專家趙佔領認為,航空公司、票代、網際網路售票平台都擁有旅客個人信息,信息洩露的原因可能是有內鬼盜取數據,也有可能是系統受到黑客攻擊。
他說,個人數據洩露一直難以杜絶,因為涉及環節較多,不好發現問題出在哪裡。另外,違法成本低,維權很難。如果走民事途徑,不知道該起訴誰,如果走刑事途徑,要揪出內鬼或黑客,否則不能立案。
30日,中國新聞網轉載京華時報的報導,稱在烏雲網上看到,僅1月29日當天,就有5條涉及航空公司的漏洞得到公司確認,內容涉及航空公司B2C系統淪陷,千萬機票信息可以查看。
民航出入境API系統邏輯缺陷,導致出入境實時數據洩露,航空公司內部員工郵箱賬號和密碼泄露,可登錄公司內部郵件系統。
該漏洞可導致客戶,預付卡6位數字密碼可爆解碼,旅客姓名、身份證號、手機號碼可能洩露。
烏雲網創始人之一孟卓告訴記者,這個漏洞的細節還未進入到公開流程,處於保密階段。但該漏洞可能會導致預付卡中的錢被盜取。不只是東航系統淪陷,在烏雲公佈的已被企業確認的系統漏洞中,還包括廈門、上海航空以及值機常用的APP軟體航旅縱橫等。
烏雲漏洞報告指出,廈門航空B2B管理系統淪陷,可查任意乘客機票信息、修改任意代理機構密碼、添加代理商等。
廈門航空則回應稱,該系統為舊系統,裡面的旅客信息是其他航空公司的信息,其公司已經兩年不用該系統。
東航方面回應稱,預付卡系統並無漏洞,烏雲的「白帽子」工程師採取了暴力攻擊的方式才進入系統。目前東航已經採取了安全強化措施對系統進行了加固用戶賬戶是安全的。
不過,報導說,烏雲「白帽子」「路人甲」可以識別計算機系統或網路系統中的安全漏洞,但沒有惡意去利用,而是公佈了「東方航空預付費卡系統淪陷」的漏洞。
個人關鍵信息每條賣20元
用戶賬戶到底是不是安全的?報導說,不久前,金女士訂了東航從北京飛往武漢的機票,在起飛的前一晚,她收到了一條署名為「東方航空」的提示簡訊。
信中說:「尊敬的金女士,您預訂的1月24日08:05北京-武漢航班由於機械故障不能起飛已取消,敬請諒解!請及時聯繫客服400-0335771辦理改簽或退票。退票和改簽額外補償200元,改簽收取20元工本費。」
這樣的詐騙簡訊中的旅客信息是從哪來的?
烏雲網的一位資深「白帽子」告訴記者,為了搞清所洩露的旅客個人信息究竟怎樣變成逼真的退改簽詐騙簡訊,他專門假扮買家購買信息,從黑産數據販子手中看到了旅客信息是交易的重點。
交易數據顯示,旅客姓名、航空公司、航班信息、起降時間、身份證號、手機號、票號信息應有盡有。而這樣的信息每條售價高達20元。
這些沒有起飛的航班信息數據,才有做黑色産業鏈的價值,多家數據販子給出的價格每條都在20元以上,23元、25元一條的也有。每天,這樣的新數據有600——800條被賣出。
網路安全專家趙佔領認為,航空公司、票代、網際網路售票平台都擁有旅客個人信息,信息洩露的原因可能是有內鬼盜取數據,也有可能是系統受到黑客攻擊。
他說,個人數據洩露一直難以杜絶,因為涉及環節較多,不好發現問題出在哪裡。另外,違法成本低,維權很難。如果走民事途徑,不知道該起訴誰,如果走刑事途徑,要揪出內鬼或黑客,否則不能立案。