起底机票数据泄露之谜

你有没有收到过“航班因故取消”的短信▼

近几年，“机票退改签”诈骗事件时有发生。由于短信中旅客的信息准确而完整，上当之人络绎不绝。

同时，许多明星的航班信息在微博、贴吧等地公然叫卖，连证件、护照及手机号码也可打包出售，气焰嚣张。

到底是谁这么神通广大，竟能掌握所有旅客的航班信息？

中航信系统被公开出租

前段时间，有人堂而皇之地将明星邓超的历史航班行程发在朋友圈，公开出租“追星系统”，宣称可以查询航班信息、追踪明星行程。

联系出租者得知，所谓的“追星系统”原来是中航信的民航旅客订座系统（eTerm）。

该系统是航班及机票预定、查询、管理系统，航空公司、机票代理商、机场都在使用。无论在哪个订票网站或航空公司购票，旅客的个人信息都会被提供给这个系统。

出租者表示，系统配备了齐全的指令，可以提取多种航班信息。比如以个人身份证件信息可以查询其名下的全部航班行程，航司专用指令可以一次提取整个航班上的所有旅客信息。

用“eTerm出租”等关键字进行搜索，在QQ群、贴吧、淘宝发现了大量的出租信息。

一淘宝店主表示租赁系统账号5000元/月，查询上限1万次；一微博商户表明，500元可购买5万个流量，包括旅客全套信息和出行记录。还有商户以7元/条的价格出售实时航班数据。

这些，都成为机票信息泄露的源头。

数据泄露门槛极低

eTerm系统俗称“黑屏系统”，分为机场A系统、航司B系统、代理人C系统三类。

网上购买一个代理人C系统账号大约600-700元，花1小时就能掌握常用的指令，可以查询到票价、预定时间、姓名、身份证等数据。

代理人C系统覆盖率达60%，通过航空公司订票的数据没有被共享。若是购买航司B系统账号，即使不掌握任何旅客信息，仅仅通过航班号，也可以提取大部分旅客信息。

据业内人士透露，在获取到账号、服务器地址、指令的情况下，编写一个简单的脚本，让机器不停查询近期航班上的旅客信息，然后提取航班、行程、姓名、身份证、联系方式等，再作编辑，就可以发送诈骗短信了。

复盘整个泄露过程，小盟发现此方式门槛极低，购买成本只需几百元，沟通、安装、学习指令等时间成本也几个小时就足够了。

换句话说，别有用心的话，谁都可以获取到旅客航班信息。

真实账号被违规放大

这么强大的系统，账号不应该被全面保护监控吗？然而，网络中售卖的账号，其实并不是系统的真实账号。

eTerm系统问世后，业内开发了放大软件，可以将一个系统账号拆分成N个子账号，权限相同，数据互通。

本意是为代理商节省账号成本，但这种放大软件让代理门槛被降低，泛滥共享、出租、售卖造成了数据泄露。

去年10月，央视曾曝光此漏洞，中航信也采取了诸多举措保护旅客的信息安全。但由于技术门槛较低，这种方法行为并未完全杜绝。

多泄露渠道难溯源

除了eTerm系统，航空公司、各级代理商、第三方订票平台等等都能掌握旅客信息。事实上，由于用户信息管理者众多，很多航班信息泄露甚至无法定位泄露源头，这让维权变得十分艰难。