近日，浙江溫州市公安局破獲一起特大黑客攻擊竊取國內(nèi)航空公司網(wǎng)站信息案件。在該案中，國內(nèi)50多家民用航空類公司網(wǎng)站遭到黑客入侵，30多萬條航空票務(wù)類公民信息和大量賬號、密碼信息被竊取。

　　個人航班信息為何屢遭泄露?一張機票從預(yù)定到經(jīng)手航空公司，從在線訂票網(wǎng)站到機票代理商，究竟是哪個環(huán)節(jié)存在如此巨大的漏洞?

　　演員劉濤直言“太可怕”

　　“尊敬的××旅客，您好!您乘坐的航班因機械故障(天氣原因)已被取消，請及時聯(lián)系客服專員辦理退票或改簽。”這是不久前，來自廣州的龍先生收到的一則短信，當(dāng)時他正在云南麗江出差，正準(zhǔn)備返程回家。

　　短信上還寫著，“改簽需補交20元手續(xù)費，另外每位旅客補充300元延誤金。落款首都航空。”心生懷疑的龍先生致電首航的官方客服確認(rèn)，后證實并無此事。盡管識破了騙子的伎倆，但他仍覺得鬧心。“怎么剛定的航班，詐騙短信就來了?”

　　和龍先生一樣，不少人都有這樣的困擾。10月30日，知名演員劉濤在微博上曬出兩張密密麻麻的明星航班信息圖，直呼“每次看到行程信息這樣被肆意泄露，真是太可怕了。”

　　訂票一次或至少3人知道

　　在上海某旅行社從事票務(wù)工作十多年的傅瑞德告訴南都記者，這類詐騙短信通常會附上鏈接，名義上是讓乘客點擊改簽付費，其實是為了收集信用卡信息。傅瑞德表示，航班發(fā)生變動，應(yīng)該是航司通過官方號碼給乘客發(fā)送消息，并且這樣的改簽是免費的。“另外300元延誤金，哪有這么好拿，還主動給你?”

　　傅瑞德所在的公司是攜程的供應(yīng)商，“干我們這行經(jīng)常能碰到明星，知道很多明星的證件信息”。

　　看到明星的航班信息被隨意曬出，甚至有瘋狂粉絲同乘包下頭等艙等信息，傅瑞德并不覺得稀奇———因為一張機票信息很輕易就能被泄露了。

　　比如一家旅行社是某大經(jīng)紀(jì)公司的定點機票代理商，該旅行社就能知道這家經(jīng)紀(jì)公司所有藝人的機票信息。旅行社里只要有人把這些信息賣給別人，明星的信息就會滿天飛，幾乎無法防范。

　　除此之外，一張機票從預(yù)定到出票，中間每一個環(huán)節(jié)也都有泄露的風(fēng)險。當(dāng)旅客在攜程、去哪兒等預(yù)定了機票，為了追求利潤最大化，平臺可能轉(zhuǎn)給代理，代理還可能再轉(zhuǎn)交給另一個代理。

　　這樣一來，從你提交機票訂單開始，再到實際出票，可能經(jīng)過2次中間商，涉及兩家票務(wù)公司，這意味著，至少有三個人知道你的航班信息。

　　因泄露渠道多而舉證難

　　基于航班信息可能泄露的環(huán)節(jié)諸多，導(dǎo)致個人信息泄露的受害者難以維權(quán)追責(zé)。南都記者查詢裁判文書網(wǎng)發(fā)現(xiàn)，在多起航空信息泄露案件中，往往以原告舉證不足而駁回起訴。

　　中國政法大學(xué)教授朱巍告訴南都記者，連在自己朋友圈中曬機票都可能泄露信息，所以要起訴平臺或者航空公司，很難拿出具體的證據(jù)，因而導(dǎo)致追責(zé)難的問題。

　　比較特別的是，今年3月，北京的龐先生也因收到航班取消短信，而以侵犯隱私權(quán)起訴去哪兒網(wǎng)和東航公司，北京市一院二審認(rèn)為兩家公司存在泄露龐先生隱私的可能性高，故而要求他們十日內(nèi)在其官方網(wǎng)站首頁以公告形式向原告賠禮道歉。

　　南都記者注意到，針對取證難的問題，在今年6月1日正式實施的網(wǎng)絡(luò)安全法明確了網(wǎng)絡(luò)信息安全的責(zé)任主體，確立了“誰收集，誰負(fù)責(zé)”的基本原則。

　　事實上，“不管什么環(huán)節(jié)，只要有人就有可能泄露。我們業(yè)務(wù)員手上有大把客人證件信息，更多時候還需靠自律。”傅瑞德對南都記者表示。

　　鏈接

　　任何人只要有eTerm系統(tǒng)賬號都可查航班信息

　　在接受南都記者采訪時，國內(nèi)航空專家林智杰曾表示，上述提到的黑客、機票代理商、中國民航信息集團(以下簡稱“中航信”)、航空公司、機場工作人員都可以通過各自的渠道和權(quán)限在eTerm系統(tǒng)上查詢乘客的具體航班信息。

　　所以，盡管航班信息泄露源眾多，但源頭都指向了eTerm系統(tǒng)。

　　網(wǎng)上租售eTerm系統(tǒng)“小號”

　　所謂eTerm系統(tǒng)，通俗地說是指中航信旗下用于國內(nèi)民航行業(yè)領(lǐng)域內(nèi)的訂位操作系統(tǒng)。據(jù)業(yè)內(nèi)人士介紹，國內(nèi)任何一個旅行社或者旅游網(wǎng)站(非航空公司自營網(wǎng)站)上查詢預(yù)定機票，都是接入eterm進行操作，然后連接到航空公司系統(tǒng)的。

　　目前，除了春秋航空(40.020, 0.29, 0.73%)外，國內(nèi)各大航空公司的訂票系統(tǒng)，基本都使用中航信的eTerm系統(tǒng)，這是一套開放軟件，任何人都可以下載。相當(dāng)于航班信息的總后臺，所有旅客的航班信息也都儲存于此。

　　通常，旅行社或機票代理需要購買賬號才能登錄eTerm系統(tǒng)。但北京某經(jīng)理級的票務(wù)代理告訴南都記者，一家票務(wù)代理公司只需要購買一個eTerm賬號，就可以利用某種分號軟件衍生出若干個“小號”，無論“大號”“小號”，都可以登錄中航信的數(shù)據(jù)庫。

　　值得一提的是，有不少經(jīng)銷商會把分出來的“小號”進行出租、售賣。

　　今年4月，南都記者曾調(diào)查發(fā)現(xiàn)，在網(wǎng)上以“eTerm系統(tǒng)出租”等關(guān)鍵字進行搜索，即可出現(xiàn)大量出租廣告，聲稱可以“提取航班信息”、“查詢明星行蹤”。南都記者聯(lián)系上一位出租賬號的服務(wù)商，其聲稱500元便可買5萬個流量，可查詢包括部分航司的旅客信息、具體旅客的出行記錄等。并且，記者親測發(fā)現(xiàn)剛買的航班信息也可在該系統(tǒng)上查詢到。也就是說，即便是普通人，知道賬號就好比有了打開航班信息的鑰匙，都可自行查詢和獨立使用了。

　　為分?jǐn)傎M用“大”賬號化小

　　據(jù)悉，中航信一般只會發(fā)給經(jīng)銷商一個賬號，那么這個“大”的賬號為何會層層往下分出若干個登錄賬號呢?

　　據(jù)傅瑞德介紹，使用中航信的系統(tǒng)是要付費的，把登錄賬號進行二次分銷可以平攤費用。

　　除了分?jǐn)傎M用，出借賬號給代理人還可能得到更多生意。比如，代理人使用某旅行社的賬號，那就需要找它出票。

　　一名業(yè)內(nèi)人士表示，出租或售賣多余的賬號主要好處還在于增加“流量”，通過這個賬號購買的機票越多，航空公司給該賬號的優(yōu)惠力度也就越大。

　　然而，對于犯罪分子來說，有了這些登錄賬號，就等于有了航班信息的通行證，可以輕松獲取旅客的航班信息。

　　基于這樣的致命漏洞，中航信系統(tǒng)一直以來廣受爭議。去年10月，央視《焦點訪談》曾就此點名曝光中航信系統(tǒng)。

　　針對這個問題，中航信曾回應(yīng)南都記者，早在2010年，對于代理人利用外掛平臺的行為進行了堅決的清理，違規(guī)行為得到了有效控制。

　　作為一個天天捧著eTerm干活的人，傅瑞德盯著這個黑屏已有十幾年。在eTerm的界面操作上，這么多年基本沒有變化。

　　有專家建議，中航信應(yīng)加強自身的信息系統(tǒng)防護，同時在查詢和內(nèi)部使用上應(yīng)有更嚴(yán)格的管控制度。

　　傅瑞德認(rèn)為，因為移動辦公和涉及的代理人太多等問題，這或許只能在操作方便和保護信息上取得一個平衡。如果要保護信息安全，那么記錄的信息就要加密，如此帶來的可能是后續(xù)的一系列操作麻煩。“不過現(xiàn)在已經(jīng)有簡單的加密，當(dāng)我提交預(yù)定的代號，別家旅行社是看不到乘客的證件號的，因為屏蔽了。