近日，浙江溫州市公安局破獲一起特大黑客攻擊竊取國(guó)內(nèi)航空公司網(wǎng)站信息案件。在該案中，國(guó)內(nèi)50多家民用航空類(lèi)公司網(wǎng)站遭到黑客入侵，30多萬(wàn)條航空票務(wù)類(lèi)公民信息和大量賬號(hào)、密碼信息被竊取。

　　個(gè)人航班信息為何屢遭泄露?一張機(jī)票從預(yù)定到經(jīng)手航空公司，從在線訂票網(wǎng)站到機(jī)票代理商，究竟是哪個(gè)環(huán)節(jié)存在如此巨大的漏洞?

　　演員劉濤直言“太可怕”

　　“尊敬的××旅客，您好!您乘坐的航班因機(jī)械故障(天氣原因)已被取消，請(qǐng)及時(shí)聯(lián)系客服專員辦理退票或改簽。”這是不久前，來(lái)自廣州的龍先生收到的一則短信，當(dāng)時(shí)他正在云南麗江出差，正準(zhǔn)備返程回家。

　　短信上還寫(xiě)著，“改簽需補(bǔ)交20元手續(xù)費(fèi)，另外每位旅客補(bǔ)充300元延誤金。落款首都航空。”心生懷疑的龍先生致電首航的官方客服確認(rèn)，后證實(shí)并無(wú)此事。盡管識(shí)破了騙子的伎倆，但他仍覺(jué)得鬧心。“怎么剛定的航班，詐騙短信就來(lái)了?”

　　和龍先生一樣，不少人都有這樣的困擾。10月30日，知名演員劉濤在微博上曬出兩張密密麻麻的明星航班信息圖，直呼“每次看到行程信息這樣被肆意泄露，真是太可怕了。”

　　訂票一次或至少3人知道

　　在上海某旅行社從事票務(wù)工作十多年的傅瑞德告訴南都記者，這類(lèi)詐騙短信通常會(huì)附上鏈接，名義上是讓乘客點(diǎn)擊改簽付費(fèi)，其實(shí)是為了收集信用卡信息。傅瑞德表示，航班發(fā)生變動(dòng)，應(yīng)該是航司通過(guò)官方號(hào)碼給乘客發(fā)送消息，并且這樣的改簽是免費(fèi)的。“另外300元延誤金，哪有這么好拿，還主動(dòng)給你?”

　　傅瑞德所在的公司是攜程的供應(yīng)商，“干我們這行經(jīng)常能碰到明星，知道很多明星的證件信息”。

　　看到明星的航班信息被隨意曬出，甚至有瘋狂粉絲同乘包下頭等艙等信息，傅瑞德并不覺(jué)得稀奇———因?yàn)橐粡垯C(jī)票信息很輕易就能被泄露了。

　　比如一家旅行社是某大經(jīng)紀(jì)公司的定點(diǎn)機(jī)票代理商，該旅行社就能知道這家經(jīng)紀(jì)公司所有藝人的機(jī)票信息。旅行社里只要有人把這些信息賣(mài)給別人，明星的信息就會(huì)滿天飛，幾乎無(wú)法防范。

　　除此之外，一張機(jī)票從預(yù)定到出票，中間每一個(gè)環(huán)節(jié)也都有泄露的風(fēng)險(xiǎn)。當(dāng)旅客在攜程、去哪兒等預(yù)定了機(jī)票，為了追求利潤(rùn)最大化，平臺(tái)可能轉(zhuǎn)給代理，代理還可能再轉(zhuǎn)交給另一個(gè)代理。

　　這樣一來(lái)，從你提交機(jī)票訂單開(kāi)始，再到實(shí)際出票，可能經(jīng)過(guò)2次中間商，涉及兩家票務(wù)公司，這意味著，至少有三個(gè)人知道你的航班信息。

　　因泄露渠道多而舉證難

　　基于航班信息可能泄露的環(huán)節(jié)諸多，導(dǎo)致個(gè)人信息泄露的受害者難以維權(quán)追責(zé)。南都記者查詢裁判文書(shū)網(wǎng)發(fā)現(xiàn)，在多起航空信息泄露案件中，往往以原告舉證不足而駁回起訴。

　　中國(guó)政法大學(xué)教授朱巍告訴南都記者，連在自己朋友圈中曬機(jī)票都可能泄露信息，所以要起訴平臺(tái)或者航空公司，很難拿出具體的證據(jù)，因而導(dǎo)致追責(zé)難的問(wèn)題。

　　比較特別的是，今年3月，北京的龐先生也因收到航班取消短信，而以侵犯隱私權(quán)起訴去哪兒網(wǎng)和東航公司，北京市一院二審認(rèn)為兩家公司存在泄露龐先生隱私的可能性高，故而要求他們十日內(nèi)在其官方網(wǎng)站首頁(yè)以公告形式向原告賠禮道歉。

　　南都記者注意到，針對(duì)取證難的問(wèn)題，在今年6月1日正式實(shí)施的網(wǎng)絡(luò)安全法明確了網(wǎng)絡(luò)信息安全的責(zé)任主體，確立了“誰(shuí)收集，誰(shuí)負(fù)責(zé)”的基本原則。

　　事實(shí)上，“不管什么環(huán)節(jié)，只要有人就有可能泄露。我們業(yè)務(wù)員手上有大把客人證件信息，更多時(shí)候還需靠自律。”傅瑞德對(duì)南都記者表示。

　　鏈接

　　任何人只要有eT erm系統(tǒng)賬號(hào)都可查航班信息

　　在接受南都記者采訪時(shí)，國(guó)內(nèi)航空專家林智杰曾表示，上述提到的黑客、機(jī)票代理商、中國(guó)民航信息集團(tuán)(以下簡(jiǎn)稱“中航信”)、航空公司、機(jī)場(chǎng)工作人員都可以通過(guò)各自的渠道和權(quán)限在eTerm系統(tǒng)上查詢乘客的具體航班信息。

　　所以，盡管航班信息泄露源眾多，但源頭都指向了eTerm系統(tǒng)。

　　網(wǎng)上租售eTerm系統(tǒng)“小號(hào)”

　　所謂eTerm系統(tǒng)，通俗地說(shuō)是指中航信旗下用于國(guó)內(nèi)民航行業(yè)領(lǐng)域內(nèi)的訂位操作系統(tǒng)。據(jù)業(yè)內(nèi)人士介紹，國(guó)內(nèi)任何一個(gè)旅行社或者旅游網(wǎng)站(非航空公司自營(yíng)網(wǎng)站)上查詢預(yù)定機(jī)票，都是接入eterm進(jìn)行操作，然后連接到航空公司系統(tǒng)的。

　　目前，除了春秋航空外，國(guó)內(nèi)各大航空公司的訂票系統(tǒng)，基本都使用中航信的eTerm系統(tǒng)，這是一套開(kāi)放軟件，任何人都可以下載。相當(dāng)于航班信息的總后臺(tái)，所有旅客的航班信息也都儲(chǔ)存于此。

　　通常，旅行社或機(jī)票代理需要購(gòu)買(mǎi)賬號(hào)才能登錄eTerm系統(tǒng)。但北京某經(jīng)理級(jí)的票務(wù)代理告訴南都記者，一家票務(wù)代理公司只需要購(gòu)買(mǎi)一個(gè)eTerm賬號(hào)，就可以利用某種分號(hào)軟件衍生出若干個(gè)“小號(hào)”，無(wú)論“大號(hào)”“小號(hào)”，都可以登錄中航信的數(shù)據(jù)庫(kù)。

　　值得一提的是，有不少經(jīng)銷(xiāo)商會(huì)把分出來(lái)的“小號(hào)”進(jìn)行出租、售賣(mài)。

　　今年4月，南都記者曾調(diào)查發(fā)現(xiàn)，在網(wǎng)上以“eTerm系統(tǒng)出租”等關(guān)鍵字進(jìn)行搜索，即可出現(xiàn)大量出租廣告，聲稱可以“提取航班信息”、“查詢明星行蹤”。南都記者聯(lián)系上一位出租賬號(hào)的服務(wù)商，其聲稱500元便可買(mǎi)5萬(wàn)個(gè)流量，可查詢包括部分航司的旅客信息、具體旅客的出行記錄等。并且，記者親測(cè)發(fā)現(xiàn)剛買(mǎi)的航班信息也可在該系統(tǒng)上查詢到。也就是說(shuō)，即便是普通人，知道賬號(hào)就好比有了打開(kāi)航班信息的鑰匙，都可自行查詢和獨(dú)立使用了。

　　為分?jǐn)傎M(fèi)用“大”賬號(hào)化小

　　據(jù)悉，中航信一般只會(huì)發(fā)給經(jīng)銷(xiāo)商一個(gè)賬號(hào)，那么這個(gè)“大”的賬號(hào)為何會(huì)層層往下分出若干個(gè)登錄賬號(hào)呢?

　　據(jù)傅瑞德介紹，使用中航信的系統(tǒng)是要付費(fèi)的，把登錄賬號(hào)進(jìn)行二次分銷(xiāo)可以平攤費(fèi)用。

　　除了分?jǐn)傎M(fèi)用，出借賬號(hào)給代理人還可能得到更多生意。比如，代理人使用某旅行社的賬號(hào)，那就需要找它出票。

　　一名業(yè)內(nèi)人士表示，出租或售賣(mài)多余的賬號(hào)主要好處還在于增加“流量”，通過(guò)這個(gè)賬號(hào)購(gòu)買(mǎi)的機(jī)票越多，航空公司給該賬號(hào)的優(yōu)惠力度也就越大。

　　然而，對(duì)于犯罪分子來(lái)說(shuō)，有了這些登錄賬號(hào)，就等于有了航班信息的通行證，可以輕松獲取旅客的航班信息。

　　基于這樣的致命漏洞，中航信系統(tǒng)一直以來(lái)廣受爭(zhēng)議。去年10月，央視《焦點(diǎn)訪談》曾就此點(diǎn)名曝光中航信系統(tǒng)。

　　針對(duì)這個(gè)問(wèn)題，中航信曾回應(yīng)南都記者，早在2010年，對(duì)于代理人利用外掛平臺(tái)的行為進(jìn)行了堅(jiān)決的清理，違規(guī)行為得到了有效控制。

　　作為一個(gè)天天捧著eTerm干活的人，傅瑞德盯著這個(gè)黑屏已有十幾年。在eTerm的界面操作上，這么多年基本沒(méi)有變化。

　　有專家建議，中航信應(yīng)加強(qiáng)自身的信息系統(tǒng)防護(hù)，同時(shí)在查詢和內(nèi)部使用上應(yīng)有更嚴(yán)格的管控制度。

　　傅瑞德認(rèn)為，因?yàn)橐苿?dòng)辦公和涉及的代理人太多等問(wèn)題，這或許只能在操作方便和保護(hù)信息上取得一個(gè)平衡。如果要保護(hù)信息安全，那么記錄的信息就要加密，如此帶來(lái)的可能是后續(xù)的一系列操作麻煩。“不過(guò)現(xiàn)在已經(jīng)有簡(jiǎn)單的加密，當(dāng)我提交預(yù)定的代號(hào)，別家旅行社是看不到乘客的證件號(hào)的，因?yàn)槠帘瘟恕?/p>