多家航空公司被曝系统漏洞 信息泄露成为暴利

31.01.2015  09:09

春运将近,国内最大的漏洞发布平台乌云网披露了多起航空公司旅客个人信息泄露漏洞。记者了解到,包括旅客姓名、航班信息、身份证号、手机号在内的旅客个人信息在信息贩子手中的价格每条竟然高达20元,这些信息经过黑色产业链条,最后成为了逼真的退改签诈骗短信。

 

披露 机票信息可任意查出入境实时数据泄露

 

记者1月30日在乌云网上看到,仅1月29日一天就有5条涉及航空公司的漏洞得到公司确认,内容涉及航空公司B2C系统沦陷,千万机票信息可以查看;民航出入境API系统逻辑缺陷,导致出入境实时数据泄露;航空公司内部员工邮箱账号和密码泄露,可登录公司内部邮件系统。

 

1月29日,乌云“白帽子”(正面的黑客,可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞)“路人甲”公开了“东方航空预付费卡系统沦陷”的漏洞。报告称,该漏洞可导致客户信息及预付费卡账号泄露,预付卡6位数字密码可爆破(解码),旅客姓名、身份证号、手机号码可能泄露。

 

乌云网数据显示,目前东航方面已经确认了该漏洞。乌云网创始人之一孟卓告诉记者,这个漏洞的细节还未进入到公开流程,处于保密阶段。但该漏洞可能会导致预付卡中的钱被盗取。

 

不只是东航,记者看到,在乌云公布的已被企业确认的系统漏洞中,近期涉及航空业的占到相当比例,包括厦门航空、上海航空以及值机常用的APP软件航旅纵横等。

 

乌云漏洞报告指出,厦门航空B2B管理系统沦陷,可查任意乘客机票信息、修改任意代理机构密码、添加代理商等。

 

对此,厦门航空在确认漏洞时表示,该系统为旧系统,已停用多时,近期由于内部原因重新打开测试,里面并未存放旅客信息,近期就将关闭。“这个漏洞的影响不应该被夸大。”厦门航空方面表示,“里面的旅客信息是其他航空公司的信息,我司已经2年不用该系统。

 

东航方面昨天则称,预付卡系统并无漏洞,乌云的“白帽子”工程师采取了暴力攻击的方式才进入系统。“如果采取暴力攻击的方式,那没有系统是绝对安全的。”东航方面表示,目前东航已经采取了安全强化措施对系统进行了加固,现在用户账户是安全的。