飛機訂票信息是如何泄露的？商家通過多種渠道獲取隱私

2017-11-28 南方都市報點擊：次

　　近日，浙江溫州市公安局破獲一起特大黑客攻擊竊取國內航空公司網站信息案件。在該案中，國內50多家民用航空類公司網站遭到黑客入侵，30多萬條航空票務類公民信息和大量賬號、密碼信息被竊取。

　　個人航班信息為何屢遭泄露?一張機票從預定到經手航空公司，從在線訂票網站到機票代理商，究竟是哪個環節存在如此巨大的漏洞?

　　演員劉濤直言“太可怕”

　　“尊敬的××旅客，您好!您乘坐的航班因機械故障(天氣原因)已被取消，請及時聯系客服專員辦理退票或改簽。”這是不久前，來自廣州的龍先生收到的一則短信，當時他正在云南麗江出差，正準備返程回家。

　　短信上還寫著，“改簽需補交20元手續費，另外每位旅客補充300元延誤金。落款首都航空。”心生懷疑的龍先生致電首航的官方客服確認，后證實并無此事。盡管識破了騙子的伎倆，但他仍覺得鬧心。“怎么剛定的航班，詐騙短信就來了?”

　　和龍先生一樣，不少人都有這樣的困擾。10月30日，知名演員劉濤在微博上曬出兩張密密麻麻的明星航班信息圖，直呼“每次看到行程信息這樣被肆意泄露，真是太可怕了。”

　　訂票一次或至少3人知道

　　在上海某旅行社從事票務工作十多年的傅瑞德告訴南都記者，這類詐騙短信通常會附上鏈接，名義上是讓乘客點擊改簽付費，其實是為了收集信用卡信息。傅瑞德表示，航班發生變動，應該是航司通過官方號碼給乘客發送消息，并且這樣的改簽是免費的。“另外300元延誤金，哪有這么好拿，還主動給你?”

　　傅瑞德所在的公司是攜程的供應商，“干我們這行經常能碰到明星，知道很多明星的證件信息”。

　　看到明星的航班信息被隨意曬出，甚至有瘋狂粉絲同乘包下頭等艙等信息，傅瑞德并不覺得稀奇———因為一張機票信息很輕易就能被泄露了。

　　比如一家旅行社是某大經紀公司的定點機票代理商，該旅行社就能知道這家經紀公司所有藝人的機票信息。旅行社里只要有人把這些信息賣給別人，明星的信息就會滿天飛，幾乎無法防范。

　　除此之外，一張機票從預定到出票，中間每一個環節也都有泄露的風險。當旅客在攜程、去哪兒等預定了機票，為了追求利潤最大化，平臺可能轉給代理，代理還可能再轉交給另一個代理。

　　這樣一來，從你提交機票訂單開始，再到實際出票，可能經過2次中間商，涉及兩家票務公司，這意味著，至少有三個人知道你的航班信息。

　　因泄露渠道多而舉證難

　　基于航班信息可能泄露的環節諸多，導致個人信息泄露的受害者難以維權追責。南都記者查詢裁判文書網發現，在多起航空信息泄露案件中，往往以原告舉證不足而駁回起訴。

　　中國政法大學教授朱巍告訴南都記者，連在自己朋友圈中曬機票都可能泄露信息，所以要起訴平臺或者航空公司，很難拿出具體的證據，因而導致追責難的問題。

　　比較特別的是，今年3月，北京的龐先生也因收到航班取消短信，而以侵犯隱私權起訴去哪兒網和東航公司，北京市一院二審認為兩家公司存在泄露龐先生隱私的可能性高，故而要求他們十日內在其官方網站首頁以公告形式向原告賠禮道歉。

　　南都記者注意到，針對取證難的問題，在今年6月1日正式實施的網絡安全法明確了網絡信息安全的責任主體，確立了“誰收集，誰負責”的基本原則。

　　事實上，“不管什么環節，只要有人就有可能泄露。我們業務員手上有大把客人證件信息，更多時候還需靠自律。”傅瑞德對南都記者表示。

　　鏈接

　　任何人只要有eT erm系統賬號都可查航班信息

　　在接受南都記者采訪時，國內航空專家林智杰曾表示，上述提到的黑客、機票代理商、中國民航信息集團(以下簡稱“中航信”)、航空公司、機場工作人員都可以通過各自的渠道和權限在eTerm系統上查詢乘客的具體航班信息。

　　所以，盡管航班信息泄露源眾多，但源頭都指向了eTerm系統。

　　網上租售eTerm系統“小號”

　　所謂eTerm系統，通俗地說是指中航信旗下用于國內民航行業領域內的訂位操作系統。據業內人士介紹，國內任何一個旅行社或者旅游網站(非航空公司自營網站)上查詢預定機票，都是接入eterm進行操作，然后連接到航空公司系統的。

　　目前，除了春秋航空外，國內各大航空公司的訂票系統，基本都使用中航信的eTerm系統，這是一套開放軟件，任何人都可以下載。相當于航班信息的總后臺，所有旅客的航班信息也都儲存于此。

　　通常，旅行社或機票代理需要購買賬號才能登錄eTerm系統。但北京某經理級的票務代理告訴南都記者，一家票務代理公司只需要購買一個eTerm賬號，就可以利用某種分號軟件衍生出若干個“小號”，無論“大號”“小號”，都可以登錄中航信的數據庫。

　　值得一提的是，有不少經銷商會把分出來的“小號”進行出租、售賣。

　　今年4月，南都記者曾調查發現，在網上以“eTerm系統出租”等關鍵字進行搜索，即可出現大量出租廣告，聲稱可以“提取航班信息”、“查詢明星行蹤”。南都記者聯系上一位出租賬號的服務商，其聲稱500元便可買5萬個流量，可查詢包括部分航司的旅客信息、具體旅客的出行記錄等。并且，記者親測發現剛買的航班信息也可在該系統上查詢到。也就是說，即便是普通人，知道賬號就好比有了打開航班信息的鑰匙，都可自行查詢和獨立使用了。

　　為分攤費用“大”賬號化小

　　據悉，中航信一般只會發給經銷商一個賬號，那么這個“大”的賬號為何會層層往下分出若干個登錄賬號呢?

　　據傅瑞德介紹，使用中航信的系統是要付費的，把登錄賬號進行二次分銷可以平攤費用。

　　除了分攤費用，出借賬號給代理人還可能得到更多生意。比如，代理人使用某旅行社的賬號，那就需要找它出票。

　　一名業內人士表示，出租或售賣多余的賬號主要好處還在于增加“流量”，通過這個賬號購買的機票越多，航空公司給該賬號的優惠力度也就越大。

　　然而，對于犯罪分子來說，有了這些登錄賬號，就等于有了航班信息的通行證，可以輕松獲取旅客的航班信息。

　　基于這樣的致命漏洞，中航信系統一直以來廣受爭議。去年10月，央視《焦點訪談》曾就此點名曝光中航信系統。

　　針對這個問題，中航信曾回應南都記者，早在2010年，對于代理人利用外掛平臺的行為進行了堅決的清理，違規行為得到了有效控制。

　　作為一個天天捧著eTerm干活的人，傅瑞德盯著這個黑屏已有十幾年。在eTerm的界面操作上，這么多年基本沒有變化。

　　有專家建議，中航信應加強自身的信息系統防護，同時在查詢和內部使用上應有更嚴格的管控制度。

　　傅瑞德認為，因為移動辦公和涉及的代理人太多等問題，這或許只能在操作方便和保護信息上取得一個平衡。如果要保護信息安全，那么記錄的信息就要加密，如此帶來的可能是后續的一系列操作麻煩。“不過現在已經有簡單的加密，當我提交預定的代號，別家旅行社是看不到乘客的證件號的，因為屏蔽了。