信息安全调查
民航系统公安局去年10月开始了一轮“打击防范非法侵入民航信息系统犯罪”专项行动,能否深入、持续地打击民航系统内倒卖信息的顽疾,从源头上终结信息泄露,关系着整个行业的安全和声誉。另外,利用南航、东航、国航平台进行短信诈骗者的案例明显增多,这些国内主要航空公司亦有责任持续加大警示提醒力度,以降低消费者遭遇诈骗的风险。
每年暑期开始的三个多月都是航空公司旺季,最近几年则成为了短信诈骗者狂欢旺季。
8月以来,机票退改签诈骗再一次呈现高发态势.21世纪经济报道记者多次接到各种投诉,不断有乘客在出行前不久接到航班被取消的短信,被要求与“客服”联系进行退改签,涉及南航、东航、国航最多。
从2013年下半年开始,机票退改签诈骗突然爆发,甚至抢走了冒充国家工作人员、冒充电信运营商官方等传统诈骗方式的风头,在庞大的电信骗局体系里自成一派,受害者遍布全国。21世纪经济报道记者此前曾经多次对航班短信诈骗做过报道,然而几年时间过去了,这类诈骗并未销声匿迹。
在此期间,全国多地警方破获了多起此类案件,其中不少数额已经达到特大诈骗案件的级别。综合来看诈骗者获得的乘客信息都是从网上购得,而泄露乘客个人信息的渠道却较为复杂。
对此航空公司、OTA、票代、中航信等相关方各有说法。如何消除这一依附民航业而生的顽疾?各方仍在见招拆招。
多个渠道泄露乘客信息
机票退改签诈骗再次进入高发期。
由于信息完善,且诈骗短信往往是在航班起飞前一两天,甚至起飞前两三个小时发送,不少收到短信的乘客都信以为真。根据这些乘客的描述,诈骗者不仅知道其航班号、座位号码,还知道其手机号码、身份证等个人证件信息。记者曾经采访过一个案例:一位在大陆居住的台胞接通所谓“客服”电话后,对方甚至准确地报出了其台胞证的号码。
这些信息到底是从什么渠道泄露而出?乘客首先想到的是订票方,一是航空公司的官网、APP、官方热线电话,二是携程、去哪儿等OTA。
不过从记者搜集的情况来看,机票退改签诈骗现身以来,国内绝大多数航空公司的乘客都有遭遇过,在去哪儿、携程等不同的OTA购票也都出现过有乘客中招,理论上并非单独某一家航空公司或者OTA的信息泄露。
事实上,无论乘客是在哪一渠道订票,其订票信息都会汇总至中航信的系统。国内仅有春秋航空、九元航空等低成本航空选择自建订座系统,而至今这两家航空几乎没有出现过遭遇短信诈骗的乘客案例,因此外界一直质疑中航信的系统可能存在安全隐患。
中航信系统之前也曾经面临过滥用。曾经有大量未获得中航协资质的黑票代利用技术手段外挂到中航信的B系统,抓取订座系统的信息。为此中航信曾经大力进行过清理,但至今黑票代并未完全杜绝。
航空公司或者票代的网站也同样存在隐患。国航、东航、南航等航空公司的网站都曾被曝出漏洞,携程此前也曾被指出安全漏洞。各家航空公司和OTA官方都一一做出解释,并强调并没有乘客信息泄露。
相比航空公司、OTA的官网,还有一类做B2B业务的票代网站。他们往往处于机票分销链条的中段,并不会直接接触一般乘客。这类网站同样面临被黑客攻击、泄露信息的危险。
以上提到的都是被动泄露乘客信息的几大渠道。值得一提的是,中航信的B系统是面向航空公司,理论上航空公司内部员工有机会直接接触到乘客信息,这一点也遭到过一些诈骗受害者的质疑。
民航业升级安防
尽管记者接触的多家国内航空公司都表示有严格的内控,不可能主动泄露乘客的信息。不过山东济南警方今年破获的一起案件却给出了相反的实证。
今年4月,济南历城区警方破获了一起特大民航旅客乘机信息泄露案,十多名犯罪嫌疑人中就包括三名分属三家航空公司的员工。他们利用职务权限获得了中航信B系统的账号,然后以几万至几十万不等的价格倒卖给他人。获得B系统账号后,诈骗者每天可以提取数千个乘客信息实施诈骗。
警方的通报并未透露三家航空公司的具体名称,但这一案件解释了诈骗者获得的中航信B系统的来源,说明了国内航空公司的内控仍然存在问题。
21世纪经济报道记者此前也报道过,网络上已经存在机票退改签诈骗的产业链,获得B系统账号的犯罪嫌疑人还使用技术手段复制系统功能,继续对外租售,导致B系统的使用权进一步泛滥。
在机票退改签诈骗最早出现时,中航信旗下的航旅纵横曾出面强调有严格内控,并否认主动泄露信息的质疑。不过就在今年5月开始,航旅纵横公告称,将对客票提取功能进行改进,改进后将限制票代的客票查询资格,票代仅能查询自己出票的旅客信息。不过,以上改进能否斩断上述产业链还有待观察。
对于前述B2B网站,也有航空公司意识到了风险。21世纪经济报道记者了解到,东航今年8月出台了新的规定,要求所有销售东航机票的B2B平台也要至少获得相当于银行网站水平的三级信息安全等级认证。东航方面人士称,出台这一规定就是希望减少东航乘客信息暴露的风险点,避免乘客遭遇诈骗。
需要指出的是,这仅仅是一家航空公司的要求,由于乘客信息可能泄露的环节较多,记者接触过的不止一位航空公司人士都认为泄露乘客信息的责任在于黑票代。对于自身网站和合作方网站的信息安全隐患,行业内还未形成足够的重视。
作为行业主管部门,民航系统公安局去年10月开始了一轮“打击防范非法侵入民航信息系统犯罪”专项行动,前述今年山东破获的特大案件也是这一轮行动的重大成果之一。这一轮专项行动能否深入、持续地打击民航系统内倒卖信息的顽疾,从源头上终结信息泄露,将关系着整个行业的安全和声誉。
还有业内人士表示,近期利用南航、东航、国航平台进行短信诈骗者的案例明显增多,这些国内主要航空公司亦有责任持续加大警示提醒力度,以降低消费者遭遇诈骗的风险。