东航乘客信息泄露再度引发乘客焦虑。12月2日,国内最大的漏洞发布平台乌云网发布“关于东方航空大量乘客订单信息泄露”的漏洞。随后,东航回应称,乌云网所发现的漏洞源于某机票代理人系统服务器受到不明计算机连续恶意攻击,只有少数几位乘客的退票信息被识别到,系统自身无信息泄漏现象。对于这样的回答,多数乘客显然不买账。
12月2日晚间,乌云网白帽子(网络安全术语,指可以识别计算机系统或网络系统中安全漏洞的人,但这类人不会恶意利用漏洞,而是发布漏洞信息,帮助当事方及时修复漏洞)“路人甲”公开了一个关于东方航空大量乘客订单信息泄露的漏洞,该漏洞类型为重要敏感信息泄露,危害等级为高。业内人士称,这个漏洞会导致旅客姓名、手机号以及航班信息等资料外泄。
12月3日,东航称已经确认漏洞,并向乌云网反馈。东航方面给乌云网的调查结果为:“非东航信息系统地址已移交公司保卫部及公安进行排查,涉及账号及对端地址已通知中航信予以关闭”。东航方面随后介绍,经过调查,东航的系统并未出现漏洞,而是某机票代理人系统服务器受到不明计算机连续攻击,有少数几位乘客的退票信息被识别到,系统自身无信息泄漏现象。
“我们目前已经查到具体是哪一家代理系统受到攻击,并限制了该代理商的访问行为。这种攻击是恶意的,目的是要读取其中的数据,我们已向公安机关报案,要找到攻击源。”东航方面表示。
据业内人士介绍,此次东航事件并非个案,此前包括山东航空等在内的国内多家航空公司也可能出现少数乘客信息泄漏的情况。而国外航空公司也出现过乘客信息泄露事件。例如,今年9月,日本航空公司就宣布,公司因受电脑病毒感染,约75万乘客信息丢失。这些信息包括日本航空公司会员的姓名、出生日期、住址、单位、职位、邮件等重要个人信息。
安全领域人士介绍,一旦这些信息被不法之徒所得,可以根据这些重要信息对乘客进行诈骗。目前,我国国内已经出现了相关的诈骗方式。一般情况下诈骗人员会以航空公司的名义给乘客发短信,宣称因为机械或者天气原因,乘客乘坐的航班被取消,为了弥补乘客损失,在为乘客办理退改签的同时,会对乘客进行一定数额的赔偿。随后诈骗人员会要求乘客首先提供银行账户信息,一旦乘客提供了银行账户信息,诈骗人员就会利用各种技术手段,对乘客的银行账户进行“洗劫”。由于诈骗人员通过漏洞获得了乘客信息,在与乘客的沟通中,可以准确说出包括乘客身份证、电话、地址等多个重要信息,可以轻易获得乘客的信任,进而获得乘客的银行账户信息。
在此次东航信息泄露事件后,就有乘客通过微博表示,收到诈骗短信和电话。还有乘客表示,由于对方可以准确说出自己的关键身份信息,因此误认为对方是东航工作人员,并被对方骗取了银行账户信息。
多数乘客表示,对于此次事件,东航的回应不能令人满意,作为一家负责任的公司,东航应快速修补系统漏洞,确保乘客信息安全,并对这一事件进行详细调查,并对外界公开调查结果。如果有乘客因此遭受损失,东航还应承担相应的责任。
事实上,早在今年8月,乌云平台就曾曝出东航系统存在SQL注入漏洞,造成大量乘客信息泄露。而这一漏洞随后也得到了东航的确认。发现这一漏洞“白帽子”曾这样表述:“乘客信息惨不忍睹地暴露无遗。包括姓名、出生日期、护照ID、地址等等!望引起重视尽快修复!”但这一漏洞似乎并未引起东航的重视,时隔不到四个月,东航再次出现类似问题,也使得乘客对东航的系统安全性和事后处理产生焦虑。
对于东航的回应,乌云联合创始人孟卓就表示:“我们的确看到有乘客的敏感信息泄漏,且此类数据正是黑色产业、网络诈骗组织所关注的。从媒体、白帽子和周围人的反馈来看,这种利用信息泄漏诈骗的事件已经多如牛毛,屡禁不止,但一直未能得到航空企业与代理销售渠道的重视,诈骗现状愈发严重。”
[责任编辑: 林天泉]