揭秘航空数据泄露源头:出票账号被违规放大共享
本报记者 陈宝亮 实习生 甘星星 北京报道
起底航空数据泄露源头
2012年开始,国内机票退改签电信诈骗事件开始爆发,此类诈骗在2015年前后进入高峰期,各大航空公司、OTA平台因此被不断投诉。中航信因此备受困扰,虽然一直在完善自身管理,并推动上下游保护旅客信息,收效却并不理想。账号放大是中航信数据泄露的主要渠道,但账号放大却是国内代理人管理体系下的必然产物。国内外的航空信息化目前普遍处于一个更新迭代的关键时期,曾经为中国民航信息化做出突出贡献的中航信也没有停止步伐,技术革新是它面临的一个重要挑战。
账号放大是中航信数据被通过各种主体特别是不法商户泄露的主要渠道,但账号放大却是国内代理人管理体系下的必然产物。
明星邓超的历史航班行程被人堂而皇之贴在了微信朋友圈中,成为“追星系统”的广告。“追星系统”是不法商户借用中国航信eTerm航司B系统打造的产品,并以此牟利,可以通过相应指令,以个人身份证件信息查询其名下近期航班行程信息。中航信被称为“中国民航健康运动的神经”,是全球第三大GDS(航空旅游分销系统提供商),eTerm是包括航空公司、机票代理人、机场都在使用的预定、查询、管理系统。
上述“追星系统”来自一个名为“午午午午”的淘宝店铺,通过旺旺聊天,记者添加了“午午午午”的微信,并发现了这张邓超行程的图片。该图片直接截取自eTerm黑屏系统,通过“DETR:NI”指令,展示了邓超的身份证,以及接近10次的历史行程信息。而且,经过系统演示,店主向记者贴出了一张邓超近一个月包括国航航班在内的最新行程记录。
通过朋友圈中展示信息,该店铺自称“深圳高稳快科技”,并宣称出租 “eTerm多航大系统”,并且配备了齐全的ML、RT、DETR等指令。据航空公司内部人士介绍,“ML是航空公司系统专用指令,一次可以提取整个航班上的所有旅客信息,RT也是航司提取乘客信息的指令。”该店铺向记者演示了DETR、RT指令,但并未演示ML指令。该出租系统售价接近5000元/月,且限制每月1万次查询。
需要指出,记者咨询了两家出售“飞机行程单”的淘宝店铺,均表示出售eTerm系统,此外,在QQ群、百度贴吧,部分行业网站均有大量出租eTerm系统者,售价从数百元/月到数万元/月不等。此外,也有人以7元/条的价格明码标价出售实时机票数据。这些,都成为航空信息泄露的源头。
数据泄露门槛低
记者在上述渠道购买了两套eTerm系统账号,售价总计1300元。
其中一套为代理人查票账号(AVH),该系统主要作用是为机票代理人通过AVH指令查询可售航班、票价等信息,但也可以根据DETR指令定位乘客半年内的行程。通过中航信官网下载eTerm3.9版本以及指令手册,从0基础到熟练使用部分指令仅需要约1个小时。
录入卖家提供的账号、密码、服务器地址、端口等信息后,登录eTerm系统,记者通过“DETR:NI/身份证”指令,查询多名同事信息,90%的同事行程可查,可以查询票价、预定时间、姓名、身份证号、常用旅客卡等数据。不过,行程信息中存在部分缺漏。卖家告诉记者:“这套系统覆盖率只有60%,在航空公司官网预定的机票,代理人系统里无法查询,航司并不跟代理人共享这些数据。”
行业内将eTerm系统分为机场A系统、航司B系统、代理人C系统三类,上述代理人账号属于C系统。
记者购买到的另一个系统据卖家称“是国航B系统,可查国航、深航”,除了AVH、DETR指令之外,该系统还可以执行RT指令,该指令可以查询包括身份证、姓名、联系方式、常用旅客卡、同行旅客等在内的多种敏感信息。
而且,即使使用者不掌握任何旅客信息,仅仅通过航班号,就可以提取大部分旅客信息。记者以4月20、21日的数个国航航班测试,第一步通过RT指令调取该航班上姓名首字母相同的乘客列表信息以及相应的PNR编码(6位订座记录编码)。第二步,通过RT指令依次查询PNR编码,即可得到该PNR编码对应的旅客姓名、联系方式、身份证信息、团队同行人、常用旅客卡等信息。
经记者测试,在仅仅知道国航航班号、日期的情况下,记者均成功提取到多个授权人的相应信息,其中包括了未出行航班信息、国际航班信息。需要指出,其中有授权人在最近一周内接到过机票退改签诈骗,并且短信中个人信息均属实。
一位经常研究黑色产业的安全行业人士告诉记者:“在有这个系统、指令的情况下,可以写一个简单脚本,通过机器不停查询近期航班上的旅客信息,然后提取航班、行程目的地、姓名、身份证、旅客卡、联系方式,通过这些信息编辑诈骗短信发送。”
在复现整个信息泄露的过程中,记者发现,此类泄露方式的门槛极低,除了1300元的购买成本之外,仅需支付 “海量搜索eTerm出租信息、加对方QQ、等待通过、沟通、安装、学习指令”的时间成本,总计不足20小时。
违规账号共享
需要指出,记者购买到的账号,并非中航信系统中的真实账号,而是来自于PID配置放大,将一个系统账号拆分成数十个子账号进行使用,每一个子账号享有与母账号相同的权限配置,而且子账号之间数据互通。
eTerm问世不久之后,行业内就研发了此类放大软件,一方面为代理人节省账号购买成本,另一方面也大幅降低了代理人行业门槛,这使得代理商、代理人的队伍迅速壮大。这种放大软件时至今日依然被广泛使用。
这种账号体系的放大使用,成为数据泄露的主要渠道。
一个代理人放大出票账号,意味着该母账号下所有的订票信息、旅客数据,获取此类账号同时也可以获取通过该代理实时下单的旅客信息。而航司B系统的放大账号,则意味着更多的数据、资料,如果能够同时拥有几大航司的B系统账号,相当于可以随时查询绝大多数的旅客出行信息。“部分与航空公司合作紧密的代理人拥有航司B系统账号,员工也可能把账号卖给信任的人”,一位航空公司人士告诉记者:“另一方面航空公司本身也有放大账号的需求,账号租赁费每年需要几千万。”
2016年4月,济南市历城区检察院审理了一起“提供侵入计算机信息系统工具罪”,三名航空公司员工对外出售了上千个带有RT指令的账号,部分账号每日提取数以千记的乘客信息,涉案人员均被刑事处罚。
2010年开始,中航信因为这种放大系统带来的劣币效应开始打击第三方配置平台,大量放大配置因此消失。但是,由于技术门槛较低,这种放大行为始终存在。
然而,记者致电中航信旗下子公司广州航旅天空,该公司官网客服则表示:“我们也是根据航信放大的系统,其他公司可能会被封,但我们的不会。”
记者电话咨询中航信,经过多次沟通辗转获得宣传部门电话,4月20日工作时间,记者8次拨打该电话均无人接听。2016年10月,央视焦点访谈曾曝光中航信信息泄露,当时,中航信曾回应称已经通过“清理外挂平台”、“限制代理人权限”、“推广账号双因素认证”、“账号行为管理”等多种举措保护旅客信息安全,并表示对违规行为坚决打击。
多渠道泄露屡禁不止
需要指出,在前述授权查询过程中,记者获取身份证、姓名等信息均为真实信息,但只有不到一半的联系方式为旅客真实电话,半数乘客的联系方式为机票代理人电话,个别无法提取联系方式。
“因为有很多代理人在提交订单时,并不向航空公司提交客户资料,担心被我们抢客户”,上述航空公司人士告诉记者:“虽然几大航司都有要求代理人提交真实信息,但他们不遵守,也不好去严格处罚。”部分客户资料掌握在OTA平台、代理商手中,同样存在泄露可能。事实上,由于用户信息管理的混乱,以及多个潜在泄露渠道,部分航班信息泄露甚至无法定位泄露源头。
2012年开始,国内机票退改签电信诈骗事件开始爆发,因为掌握了用户的真实信息、且当时用户对此类诈骗几乎没有防范心理,诈骗成功率极高。
此类诈骗在2015年前后进入高峰期,各大航空公司、OTA平台因此被不断投诉。
在此期间,OTA平台相继上线隐私保护政策。以阿里为例,阿里巴巴旗下阿里通信针对此类情形上线了“私密专线”,消费者购买机票时,机票代理人获取的是虚拟手机号,该手机号仅支持代理人、消费者之间联系,其他人获取该手机号则无法使用。
同时,2015年中航信对代理人系统做出指令修改。2015年之前,代理人系统通过DETR指令可以查询所有旅客的有效客票信息、对应证件号、预留联系方式、常用旅客卡等信息;2015年之后,该指令权限大幅下调,仅可查询在本账号出票的旅客信息。但由于账号放大存在,这种限制依然存在泄露风险。此外,上述航空公司人士告诉记者:“航司B系统没有限制过,所有航司的账号理论上都可以MLB、RT。”
2017年2月,中国民用航空局起草《民航网络信息安全管理规定(暂行)(征求意见稿)》,其中第四十六条指出,“旅客信息或重要生产数据泄露,造成重大影响或经济损失”时,民航行政管理机构应当启动网络信息安全事件调查。
此外,该文件第三十五条要求,民航各单位落实旅客信息保护制度,在“在发生或者可能发生旅客信息泄露时,应当立即采取补救措施”。不过,记者就上述购买到国航B系统事宜咨询国航,国航并未回应记者。