主页 / 产品 > 软件 > 正文

“中航信”系统漏洞多或致信息泄露 网上可租B系统

2014-05-05 21:40:23   来源:IT时报   评论:0   [收藏]   [评论]
导读:小编按:小王是某航空公司员工,他告诉记者,大代理商是信息泄露的源头之一,但航空公司内部对系统使用权限管控也不严。“权限高的或者对系统很熟知的人完全可以查到乘机人的所有信息。”小王说。
\

  4月25日,本报报道了《电话诈骗瞄准机票退改签》,一位读者因轻信了假冒航空公司发来的机票退改签的短信提示,在拨打所谓的400客服电话后,5万多元不翼而飞,后经确认,航班根本没有取消。据了解,最近收到过此类“航班取消”诈骗短信的用户不在少数,“就因为他们把我的个人信息全都说准了,我才相信的,我的信息他们是怎么知道的?”收到过此类短信的用户都发出了这样的疑问。

  究竟是哪个环节出现了问题?记者从业内人士处了解到,有可能是机票销售系统存在问题,机票销售系统里存有乘机人的大量信息,包括身份证、航班号等,但对此系统的监管不严。

  代理商能“越权”拿到信息

  多家机票代理商告诉记者,目前航空公司和机票代理商普遍使用的都是中国民航信息集团公司(下称“中航信”)的eTerm机票销售系统。记者在其官网上看到,中航信的主营业务是面向航空公司、机场、机票销售代理、旅游企业及民航相关机构和国际组织,提供航空客运业务处理、航空旅游电子分销、机场旅客处理、航空货运数据处理、互联网旅游平台、国际国内客货运收入管理系统应用和代理结算清算等服务,而其开发的eTerm机票销售系统可以实现查询、预订、出票、退改签等一系列的操作。eTerm机票销售系统中又分为C系统(代理人系统)、B系统(航空公司系统)、J系统(离港系统)三种,分别对应不同的使用者。

  记者拨打了中航信北京总部的电话,一直占线,随后记者联系了其控股的上海民航华东凯亚系统集成有限公司。工作人员告诉记者,C系统是专门针对机票代理人的,只可查看所属航空公司的航班信息,如果想提取订位编码(PNR)(如姓名、身份证、电话号码、航班等),还需要授权。B系统的权限则比C系统要大,可以查询航班座位销售情况、出票数与预订数和某个航班上出票的订位编码等。

  机票代理商徐小姐告诉记者,代理商也要看上座率等信息,C系统不够用,所以想要用B系统。

  B系统权限疑外流

  对于代理商来说,要用上B系统不是难事。“网上有专门出租B系统的商家。”徐小姐告诉记者。

  记者在网上搜索了B系统出租,就跳出多家商户。“全航B系统3000元一个月,可以查多家航空公司,单航B系统只能查某家航空公司,便宜一些。可以查到乘机人的姓名、航班号、身份证等信息,但手机号码是隐藏的,需要航空公司授权。”一位卖家告诉记者。记者询问如何得到航空公司授权时,该卖家表示要看和航空公司的关系,一些大代理商就可以弄到。

  当记者表示如果租用,需要提供什么材料时,该卖家表示只需提供公司名和电话即可,记者再次询问个人是否可以租用,卖家表示可以,而且只需提供联系方式。该卖家还提醒记者,B系统会记录每一次操作,如果后台发现用户进行采集信息的操作,则会被停用系统,但如果只是看看或者查询,则没有问题。但当记者问起B系统的来源时,该卖家表示不便透露。

  小王是某航空公司员工,他告诉记者,大代理商是信息泄露的源头之一,但航空公司内部对系统使用权限管控也不严。“权限高的或者对系统很熟知的人完全可以查到乘机人的所有信息。”小王说。

  对B系统外流到代理商或者个人手里,上海民航华东凯亚系统集成有限公司工作人员表示,系统用户每个人都有一个登录名和密码,后台也是根据用户登录后所执行的指令来判断是否在采集用户信息,外流现象很难完全避免。

分享到:
责任编辑:

网友评论

全站最新