多個(gè)渠道成為信息泄露源

　　那么，乘客的航班信息是如何泄露出去的呢?多名民航業(yè)內(nèi)人士告訴記者，信息泄露的根源在航班訂位系統(tǒng)。國(guó)內(nèi)航空專(zhuān)家林智杰稱(chēng)，由于現(xiàn)在國(guó)內(nèi)各大航空公司的訂票系統(tǒng)，除春秋航空外，基本都使用的是中國(guó)民航信息集團(tuán)公司(簡(jiǎn)稱(chēng)中航信)的系統(tǒng)，旅客的航班等信息也均在系統(tǒng)中儲(chǔ)存。所以，有權(quán)限查看并有可能泄露信息的主要有四大類(lèi)人群。

　　第一種是機(jī)票代理商，比如一些知名商旅網(wǎng)站的相關(guān)工作人員，能夠通過(guò)中航信發(fā)放的代理商賬號(hào)查到乘客信息。這種方法能查詢(xún)到的主要是通過(guò)代理商渠道購(gòu)買(mǎi)機(jī)票的乘機(jī)人信息；第二種是航空公司的工作人員，主要包括營(yíng)銷(xiāo)部門(mén)的經(jīng)理主管、地服、值機(jī)、安檢人員等。這類(lèi)工作人員能查詢(xún)到的是購(gòu)買(mǎi)所在航空公司機(jī)票的乘機(jī)人信息；第三種是中航信工作人員。由于全國(guó)絕大多數(shù)航空公司的乘機(jī)人信息都會(huì)在中航信系統(tǒng)中存儲(chǔ)，中航信的相關(guān)工作人員能查詢(xún)到絕大多數(shù)旅客的個(gè)人信息；最后一種比較特殊，即一些黑客利用員工密碼或系統(tǒng)漏洞進(jìn)入中航信系統(tǒng)并查詢(xún)信息。

　　公開(kāi)資料顯示，無(wú)論是在國(guó)內(nèi)哪個(gè)訂票網(wǎng)站或航空公司官網(wǎng)訂票，出行者的個(gè)人信息都會(huì)被提供給國(guó)內(nèi)最大的機(jī)票分銷(xiāo)系統(tǒng)服務(wù)提供商———中航信。中航信開(kāi)發(fā)的機(jī)票銷(xiāo)售系統(tǒng)可以進(jìn)行查詢(xún)、預(yù)訂、出票和退改簽等操作。

　　記者了解到，中航信信息系統(tǒng)，是中航信面向航空公司、機(jī)場(chǎng)、機(jī)票銷(xiāo)售代理等機(jī)構(gòu)，提供航空客運(yùn)業(yè)務(wù)、航空旅游電子分銷(xiāo)、機(jī)場(chǎng)旅客處理等業(yè)務(wù)的信息平臺(tái)。該信息系統(tǒng)主要包括核心網(wǎng)絡(luò)、電子客票系統(tǒng)、民航旅客訂座系統(tǒng)(ETER M系統(tǒng))、離港控制系統(tǒng)。其中民航旅客訂座系統(tǒng)(ETERM系統(tǒng))又包含代理人分銷(xiāo)系統(tǒng)(CRS系統(tǒng)，簡(jiǎn)稱(chēng)C系統(tǒng))、航班控制系統(tǒng)(ICS系統(tǒng)，簡(jiǎn)稱(chēng)B系統(tǒng))。B系統(tǒng)可以提供的信息相對(duì)較多，不僅可以查到大量航班的座位預(yù)訂情況和實(shí)際出票量，還包括航班上的訂位編碼(PNR)，乘客的航班、座位、艙位、價(jià)格、姓名、身份證、電話(huà)號(hào)碼等信息均在其中。通常，中航信只會(huì)發(fā)給經(jīng)銷(xiāo)商一個(gè)賬號(hào)，但經(jīng)銷(xiāo)商可以通過(guò)某軟件分出若干個(gè)登錄小號(hào)。這套軟件任何人都可以下載，下載安裝之后，只要有登錄賬號(hào)就可以訪(fǎng)問(wèn)中航信的數(shù)據(jù)庫(kù)。也就是說(shuō)，有了這些賬號(hào)就等于拿到了打開(kāi)航班信息庫(kù)的鑰匙，也就可以獲取旅客的航班信息。這讓中航信旅客信息泄露問(wèn)題屢遭詬病。

　　一位業(yè)內(nèi)人士稱(chēng)，早在幾年前，他就曾通過(guò)網(wǎng)頁(yè)下載ETERM軟件，當(dāng)時(shí)任何人都可以隨便查看航班信息。每當(dāng)有熱點(diǎn)人物出現(xiàn)時(shí)，他有時(shí)會(huì)隨手搜索一下，比如當(dāng)郭美美炫富時(shí)，他就查了她的航班信息，了解到她與媽媽一同出行?！澳莻€(gè)時(shí)候真是隨便看?！逼浞Q(chēng)，大概在三四年前，該系統(tǒng)被中航信部分屏蔽，現(xiàn)在只有賬號(hào)權(quán)限較高的人才可以看到所有信息。

　　500元可買(mǎi)到代理人賬號(hào)

　　盡管如此，還是有服務(wù)商有路可循。其中俗稱(chēng)“黑屏系統(tǒng)”的民航旅客訂座系統(tǒng)(ETERM系統(tǒng))便常被不法分子違規(guī)利用。記者調(diào)查發(fā)現(xiàn)，在網(wǎng)上存在大量出租中航信查詢(xún)賬號(hào)的廣告，聲稱(chēng)可以“提取航班信息”、“查詢(xún)明星行蹤”。記者在網(wǎng)上以“E T E R M系統(tǒng)出租”等關(guān)鍵字進(jìn)行搜索，聯(lián)系上一名服務(wù)商，其聲稱(chēng)500元便可買(mǎi)5萬(wàn)個(gè)流量，可查詢(xún)包括部分航司的旅客信息、具體旅客的出行記錄等。除了出租系統(tǒng)賬號(hào)以外，記者調(diào)查發(fā)現(xiàn)，有一些服務(wù)商更是直接出售旅客信息。一名名為“cc”服務(wù)商告訴記者，自己使用的是航司B系統(tǒng)原始配置，“身份證、票號(hào)、電話(huà)都有”，7元一條，50條起售。為了讓記者信服，“cc”還貼出與多名客人交易的截圖，有的人要求“早上的數(shù)據(jù)要50條，晚上的數(shù)據(jù)要50條”。一名服務(wù)商甚至在微信朋友圈中貼出鄧超2016年的多條出行記錄來(lái)招攬生意。截圖顯示，其中一條行程是2016年3月的一天，從上海飛往廈門(mén)，而記者搜索發(fā)現(xiàn)，當(dāng)日，鄧超確實(shí)到達(dá)廈門(mén)機(jī)場(chǎng)為“跑男”錄制了節(jié)目。

　　從一名曾在此購(gòu)買(mǎi)賬號(hào)、密碼的知情人手中，記者得到了一組賬號(hào)密碼，隨后成功在中航信官方網(wǎng)頁(yè)下載的ETERM軟件登錄。

　　記者親測(cè)查到同事航班記錄

　　記者了解ETERM查詢(xún)語(yǔ)言得知，通過(guò)輸入不同的指令，系統(tǒng)可以搜索出不同信息。如通過(guò)相關(guān)指令查詢(xún)指定身份證號(hào)，可得出指定對(duì)象在半年內(nèi)部分航司的出行記錄以及對(duì)應(yīng)票號(hào);而通過(guò)輸入具體日期等某一班次航班以及顧客姓氏的開(kāi)頭字母，可提取該航班的符合條件的所有顧客信息以及PN R編碼(旅客訂座記錄);再輸入另一個(gè)指令查詢(xún)PNR編碼，旅客的姓名、身份證信息、訂票電話(huà)甚至常用銀行卡號(hào)，則全部暴露無(wú)遺。不同指令查詢(xún)到的內(nèi)容通過(guò)交叉檢索，便可得到更多信息。

　　也就是說(shuō)，只要擁有足夠的權(quán)限，只要在一個(gè)隨機(jī)航班里選擇某名張姓乘客，就可以查出其身份證信息，從而得到他的出行記錄。記者測(cè)試發(fā)現(xiàn)，該賬號(hào)只能查詢(xún)到部分航空公司以及半年內(nèi)的出行記錄。在多名同事的授權(quán)下，記者以身份證號(hào)在系統(tǒng)上進(jìn)行查詢(xún)，符合條件者均出現(xiàn)了對(duì)應(yīng)的航班記錄。值得一提的是，記者親測(cè)，剛買(mǎi)的航班信息也可以在該系統(tǒng)上查詢(xún)。

　　4月19日下午5時(shí)，記者與同伴兩人通過(guò)攜程商旅訂了深圳航空航班號(hào)為ZH9443航班，從廣州飛往四川，機(jī)票價(jià)格為1510元/人。當(dāng)天下午5時(shí)30分，通過(guò)該系統(tǒng)相關(guān)指令查詢(xún)這趟航班的相關(guān)姓氏，系統(tǒng)上直接出現(xiàn)了記者與一起訂票同伴的姓名與身份證號(hào)，還有一個(gè)電話(huà)號(hào)碼。記者嘗試撥打該電話(huà)，了解到對(duì)方是在某旅游平臺(tái)負(fù)責(zé)訂票業(yè)務(wù)的工作人員何先生。他稱(chēng)，當(dāng)顧客向平臺(tái)提交訂單信息后，他們可以看到姓名、身份證或護(hù)照等信息。在幫顧客訂完票后，他們需要將航空公司發(fā)送的航班信息進(jìn)行編輯，然后轉(zhuǎn)給顧客，而其中不存在泄露信息的情況。相反，何先生稱(chēng)，自己經(jīng)常接到騷擾電話(huà)，有時(shí)一天十幾個(gè)電話(huà)，包括保險(xiǎn)、買(mǎi)房和理財(cái)?shù)取．?dāng)記者告知，他的電話(huà)號(hào)碼出現(xiàn)在航班信息查詢(xún)系統(tǒng)中時(shí)，何先生表示很驚訝。

　　那么，這些服務(wù)商所能提供的代理賬號(hào)又來(lái)自哪里呢?記者查閱裁判文書(shū)網(wǎng)了解到，2015年12月，山東省濟(jì)南市歷城區(qū)人民法院曾審理一起案件。2013年11月，原系中航信職工的高某某將其掌握的B系統(tǒng)賬號(hào)私自提供給多人使用，使他們可以查詢(xún)B系統(tǒng)內(nèi)的數(shù)據(jù)信息。高某某因此獲利203066元。判決書(shū)顯示，高某某一審因提供專(zhuān)門(mén)用于侵入計(jì)算機(jī)信息系統(tǒng)工具罪，被判處有期徒刑三年，緩刑五年，并處罰金八萬(wàn)元。