自2012年以来,国内机票退款和变更电信欺诈开始爆发,此类欺诈行为在2015年左右进入顶峰,各大航空公司、OTA平台一直在不断抱怨。因此,国航一直处于困惑之中,虽然一直在完善自己的管理,促进上下游旅客信息的保护,但效果并不理想。
账户放大是国航信用数据通过各种主体,尤其是非法商家泄露的主要渠道,但在国内代理管理体制下,账户放大是必然的产物。目前,国内外航空信息化普遍处于更新和迭代的关键时期,中国航空信贷作为对我国民航信息化做出突出贡献的国家之一,并没有停止其步伐,技术创新是其面临的一个重要挑战。
明星邓超的历史飞行行程在微信好友上公开发布,成为追星系统的广告。“追星系统”是一种由非法商家使用中国航空电子航空公司的B系统制造的产品,它可以通过相应的指令查询近期航班行程信息。中国航空通信,被称为“中国民航健康运动的神经”,是世界上第三大GDS(),eTerm是一家航空旅行分销系统提供商,是一个包括航空公司、票务代理和机场在内的预订、查询和管理系统。
“追星系统”来自一家名为“沃”的淘宝店。 通过旺旺聊天,记者添加了“沃”的微信,找到了邓超的行程图。 图片直接从 eTerm 黑屏系统截取,通过“DETR : NI”指令显示邓超的身份证和近 10 次历史行程。 此外,经过系统的演示,店主向记者公布了邓超的最新行程记录,包括国航航班。
通过朋友圈来展示信息,这家商店自称“深圳高稳定和快速技术”,并声称租用了“eTerm多机系统”,并配备了ML、RT、DETR等指令。据航空公司内部人士透露,“ML是航空系统的一种特殊指令,它可以一次从整个航班提取所有乘客信息,RT也是航空部关于提取乘客信息的指示。”商店向记者演示了DETR、RT指令,但没有演示ML指令。该租赁系统每月售价近5000元,并限制每月1万次查询。
应该指出的是,记者咨询了两家出售“飞机行程”的淘宝专卖店,并说他们出售了eTerm系统。此外,在QQ集团百度铁吧,一些行业网站有大量的eTerm系统租赁,价格从每月数百元到数万元/月不等。此外,一些人以每件7元的明确价格出售实时票数据.这些已经成为航空信息泄漏的源头。
数据披露的低门槛
记者在上述渠道购买了两套电子Term系统账户,总价为1300元。
该系统的主要功能之一是通过AVH指令查询售票员的现有航班和票价信息,但也可以根据DETR指令在半年内确定乘客的行程。下载eTerm3.9版本和指导手册只需1小时,从0基础到熟练使用一些指令。
在输入卖家提供的帐号、密码、服务器地址、端口等信息后,登录到eTerm系统,记者通过“DETR:ni/ID卡”指令,查询多位同事的信息,90%的同事行程可以检查,可以查询机票价格、预订时间、姓名、身份证号码、常用旅客卡等数据。然而,在行程信息方面存在一些空白。卖家告诉记者:“这个系统的覆盖率只有60%,在航空公司网站订票时,代理系统无法查询,航空部门不与代理商共享这些数据。”
在行业中,电子术语系统分为三类:机场A系统、航空部门B系统和代理C系统。上述代理账号属于C系统。
据卖方介绍,记者购买的另一套系统是“国航B制,可以查国航、深航”。除了AVH、DETR指令外,系统还可以实现RT指令,可以查询各种敏感信息,包括身份证、姓名、联系方式、常用旅客卡、同行旅客等。
而且,即使用户没有任何乘客信息,只有通过航班号,才能提取出大部分乘客信息。记者在4月20日和21日对几次国航航班进行了测试,第一步是通过RT指令获取相同首字母的乘客名单信息和相应的PNR代码(6位预订记录代码)。在第二步中,通过RT指令依次查询PNR代码,可以得到对应于乘客姓名、联系信息、身份证信息、团队同行、常用旅客卡等信息的PNR代码。
经过记者测试后,在只知道国航航班号和航班日期的情况下,记者成功地提取了几个授权人员的相应信息,包括无人飞行信息和国际航班信息。应该指出的是,一些授权人在上周收到了机票退款和兑换欺诈,短信中的个人信息是真实的。
一位经常研究黑人行业的安全行业人士告诉记者:“有了这个系统和指令,你可以编写一个简单的脚本,通过机器不断查询最近航班上的乘客信息,然后提取航班、行程目的地、姓名、身份证、乘客卡、联系信息,并通过这些信息编辑发送虚假短信。”
在复制整个信息泄漏的过程中,记者发现这种泄漏方法的门槛很低,除了购买成本1300元外,只需支付“大量搜索eTerm租赁信息,添加对方QQ,等待通过、沟通、安装、学习指令”的时间成本,总共不到20小时。
非法帐户共享
应该指出的是,记者购买的账户并不是中国航空信息系统中的真实账户,而是来自PID配置放大,将一个系统账户分成几十个子帐户使用,每个子帐户具有与父帐户相同的权限配置,子帐户之间的数据进行交换。
eTerm问世后不久,这种放大软件在业界得到了发展,一方面节省了代理帐户的采购成本,另一方面也大大降低了代理行业的门槛,使代理团队快速成长。这个放大软件至今仍被广泛使用。
该帐户系统的放大和使用已成为数据泄漏的主要渠道。
代理放大票务帐户,这意味着所有预订信息、乘客数据和对这样一个帐户的访问也可以通过代理获得,以便实时下订单。航空司B系统账户号的扩大意味着更多的数据和信息,如果你可以同时拥有几个主要的航空司B系统账户,那么它相当于绝大部分旅客出行信息可以随时查询。一位航空公司消息人士告诉记者:“一些与航空公司密切合作的代理商拥有B航空公司的系统账户,员工也可能向受信任的人出售账户。”“另一方面,航空公司本身也有必要扩大其账户,而帐户租金每年要花费数万英镑。”
2016年4月,。三名航空公司雇员在RT指令下向外界出售了数千个账户,其中一些人每天提取数千名乘客信息,所有涉案人员都受到惩罚。
自2010年以来,由于这种放大系统的不良货币效应,国航一直在打击第三方配置平台,大量放大配置消失了。然而,由于技术门槛低,这种放大行为始终存在。
然而,记者致电中国航空信函子公司广州航空旅游天空,公司的官方网站客户服务表示:“我们也是基于航空信函放大系统,其他公司可能会被封锁,但我们不会。”
记者打电话给中国航空公司,获得了宣传部的电话号码,经过多次沟通,4月20日,记者拨了8次电话,记者没有接电话。2016年10月,央视焦点专访揭露了中国航空信函信息的泄露,当时,中国航空信函回复称,它已经通过了“清理插件平台”、“限制代理权限”和“促进账户双因素认证”。账户行为管理等措施保护旅客信息安全,并对违规行为进行打击。
多通道泄漏已多次被禁止。
应当指出的是,在上述授权查询过程中,记者获得身份证、姓名等信息是真实信息,但不到一半的联系信息是真实的乘客电话号码,一半是乘客的电话号码,一半是售票员的电话号码,个人不能提取联系信息。
该航空公司消息人士告诉记者:“由于许多代理商在提交订单时不向航空公司提供客户信息,他们担心自己会被我们抢走。”他说:“虽然多间主要航空公司已要求代理商提供真实资料,但他们并没有遵守有关规定。对他们来说,严惩他们并不容易。”一些客户信息在OTA平台上,在代理的手中,也存在泄漏的可能性。事实上,由于用户信息管理的混乱和一些潜在的泄漏通道,一些飞行信息泄漏甚至无法定位泄漏源。
自2012年以来,由于用户的真实信息,国内的退票和改期电信欺诈行为开始爆发,当时用户对此类欺诈行为的心理防范甚少,欺诈成功率很高。
这类欺诈行为在2015年左右达到顶峰,大型航空公司和OTA平台一再遭到投诉。
在此期间,OTA平台一直实行在线隐私保护政策。以阿里为例。针对这种情况,阿里巴巴的阿里通信公司推出了一条“私人线路”。当消费者购买门票时,票务代理获取虚拟移动电话号码,该号码只支持代理。消费者彼此联系,而其他人则不能使用手机号码。
同时,中国航空通信公司在2015年修改了代理制度。在2015年前,代理系统可以通过DETR指令查询所有乘客的有效票务信息、相应的证件号码、保留的联系信息、公共乘客卡等信息。2015年后,指令的权威大大降低,只有在这个账户中发布的乘客信息才能被查询。然而,由于账户放大的存在,这一限制仍然有泄漏的风险。此外,上述航空公司消息人士告诉记者:“航空B部门的系统一直没有受到限制,所有航空公司的账户理论上都可以MLB、RT.”
2017年2月,中国民航局起草了“民用航空网络信息安全管理条例”(“征求意见稿”)。条例第四十六条规定,“旅客信息或者重要生产数据泄露,造成重大影响或者经济损失”的,由民用航空行政机关对网络信息安全事故进行调查。
此外,该文件第35条要求民航单位实施旅客信息保护制度,并“在发生乘客信息泄露或可能发生泄漏时立即采取补救措施”。不过,记者就上述购买国航B系统事宜咨询国航,国航没有对记者作出回应。
