倒卖机票数据产业链摸底:十几元买1条乘客信息
到底是谁在泄露乘客的个人信息?每当有航班取消短信诈骗发生后,很快有受害者通过网络进行投诉,指责航空公司或订票网站泄露信息。然而相关航空公司和网站都否认泄露信息,并强调其保护客户信息的技术措施非常严格。
随着遭遇诈骗的案例不断增多,受害者购票渠道几乎覆盖了大多数国内航空公司和知名售票网站,信息从某一家订票网站或航空公司泄露的可能性逐渐减小,这让外界将怀疑转移到中航信身上。
几乎所有国内航空公司都采用中航信的机票分销系统,票代通过向中航信付费来获得终端并查询航班订座信息。但在去年短信诈骗泛滥开始不久,中航信旗下航班信息软件便否认了泄露信息的可能。
而媒体多方调查了解后发现,一些原本是因为中航信与票代之间因利益分配矛盾而产生的外挂系统如今正成为短信诈骗的重要工具,乘客们在订票后不久,其个人信息便被不法分子以十几至二十多元的价格卖给诈骗者。
被泄露的隐私
当发现订票记录和个人信息被泄露后,乘客的第一反应往往是直接向其订票的第三方网站和航空公司投诉,因为这是多数乘客会直接接触的两个环节。
一位李姓的消费者12月17日收到诈骗短信后,就很快将矛头对准了订票的网站。而另一位王姓的消费者在航空公司官网上购票后不久,同样在出行前夕收到了诈骗短信。
如果某一家航空公司官网或第三方订票网站的客户普遍遭遇诈骗,航空公司或订票网站或许难辞其咎,但越来越多的案例显示,乘客遭遇诈骗并非某一家公司“独享”——媒体仅仅从微博上查询便发现,11月以来,持续有在携程、去哪儿、艺龙几大订票网站和东航、南航、深圳航空等航空公司官网订票的乘客投诉称其收到了诈骗短信。
但第三方机票销售平台和航空公司都连声喊冤。多个平台都曾向媒体强调在其网站购票的乘客的个人隐私受到非常严密的保护,不可能出现如此大范围的泄露。
而一家国内航空公司的内部人士也曾向媒体透露,在大量乘客的信息泄露发生后不久,公司内部还曾专门进行过技术排查,但并未发现信息漏洞。
于是越来越多的质疑转向了中航信。大多数乘客并不知道的是,无论是在国内哪个订票网站或航空公司官网订票,出行者的个人信息都会被提供给国内最大的机票分销系统服务提供商——中航信。中航信开发的机票销售系统eterm可以进行查询、预订、出票和退改签等操作,目前国内除了春秋航空之外的航空公司都使用这一系统。
然而,在去年9月多家航空公司的乘客遭遇短信诈骗后,中航信旗下的航班信息服务软件“航旅纵横”官方微博曾第一时间否认信息泄露与其有关,并强调称其对信息保护有非常严格的规定。
但一年以后,这一类诈骗仍然肆虐。在此期间,航旅纵横官微一直向在微博投诉的乘客强调中航信有严格保护乘客信息的规定,但中航信方面却并未直接出面解答外界的质疑。
被叫卖的乘客信息
事实上,由于接入其机票销售系统的渠道众多,即使是中航信也很难判定其掌握的乘客信息是从哪里流出。
目前全国有至少6000多家获得机票销售资质的票代,中航信为这些有销售资质的票代提供销售终端配置和信息查询,并向票代收费。理论上,只要付费获得了授权,票代就可以通过系统查询到信息。
具体来说,不同系统提供的信息也有所不同。目前中航信提供的系统主要有C系统、B系统和J系统。C系统是针对票代,B系统是针对航空公司,而J系统是针对机场的离港系统。
票代用C系统只能查询从票代自己这里出票的乘客信息。相比之下,B系统可以提供的信息更多,不仅可以查到大量航班的座位预订情况和实际出票量,甚至还有航班上的订位编码(PNR),其中包括姓名、身份证、电话号码、航班等等信息。
曾经有大量未获得授权的“黑票代”外挂到中航信的系统中,这些票代因不愿接受中航信的收费而无法获得中航信的授权,但却利用技术手段部分复制了系统,从而实现了对乘客信息的抓取。为此中航信曾在2010年大力清理违规外挂的票代,但“黑票代”却并未被完全杜绝。
有了这些信息,诈骗者要实施诈骗并不困难。北京、江苏和厦门三地的警方分别在今年5月、6月和10月破获了违法利用乘客信息进行短信诈骗的案件,三地警方分别抓获的犯罪团伙都是在海南儋州市,最大一笔诈骗涉及的金额超过170多万元。根据报道,警方在通报案情时提到,这些嫌疑人获得的大量航班信息是购买而来。
媒体也展开了调查,很快发现要购买机票数据并不困难。记者12月中旬搜寻相关信息时发现,有一百多个以“机票数据”为主题的QQ群存在,这些群的介绍中很多直接标明是购买或收购机票数据。这些群规模不一,有的有上百人,有的只有十几个人。
记者以咨询机票数据为名加入了多个QQ群,发现有几个群直接就上传了近期的群数据文件。其中一个名为“内部数据”的群文件中给出了十多条南航航班上的乘客信息,包含乘客的姓名、航班号、航班时间、乘客手机号、身份证号和机票号等信息。另一个群也提供类似的数据“以作测试”,其中不仅有机票数据,还列出了一些电商网站的客户数据。
对于刚入群的人来说,这些数据相当于样本,可以很快验证这些数据是否真实。媒体在第一个机票群的群文件中随机地选择了一位乘客的票号、旅客姓名和手机号在南航官网上查询,很快查询到了这一票号真实存在,其对应的订单编号、机上舱位、乘客姓名、两段航程的具体时间、地点等也很快显示出来,与群文件中提供的信息一致。
在确认其提供的信息真实存在后,记者以购买数据为由向其中一个群的群主咨询价格,对方声称可以提供去哪儿和携程的机票数据,基本覆盖国内的航空公司。具体来说,他手中的数据可以分为历史数据和未起飞数据两类,后一类数据他可以在乘客出行前两天拿到。
根据他的介绍,数据按条出售,其单价与购买数据的数量挂钩,一般需要批量购买:“购买未起飞数据达到200条可以18元/条的价格出售、达到500条可以15元/条的单价出售。”
对方强调其手中的数据是一手信息,但却拒绝向记者透露这些数据的来源,仅称其可以接入航空公司的系统。从其样本数据来看,其对接的正是上文提到的B系统。
B系统针对航空公司,理论上票代本身并没有使用资格,那上述群主使用的系统又是从何而来?媒体进一步查询发现,网上要找到出租B系统的信息、用上B系统同样也并不困难。
在一个分类信息网站上,一家所谓的航空服务公司就发布信息声称可以3000元/月的价格出租B系统。在交流的过程中,出租B系统和销售数据的都表示只接受支付宝等网络交易,拒绝向记者提供更多与其身份和所在地有关的信息。
此外也有警方曾通报,有犯罪分子通过技术手段入侵航空公司网站,盗取过客户信息。就在今年12月初,乌云漏洞公开了一个关于东方航空大量用户订单信息泄露的漏洞,危害等级为高。但东航方面很快回应,某机票代理人系统服务器受到不明计算机连续攻击,少数几位乘客的退票信息被识别。为此东航技术部门对网站采取安全强化措施。