據(jù)中國之聲《新聞縱橫》報道����,就在幾天前���,國內(nèi)最大的漏洞發(fā)佈平臺披露了多起航空公司旅客個人資訊洩露的漏洞��。這個平臺是烏雲(yún)網(wǎng)�����。記者了解到�,包括旅客姓名�、航班資訊、身份證號����、手機號在內(nèi)的旅客個人資訊在資訊販子手中的價格每條竟然高達20元,這些資訊經(jīng)過黑色産業(yè)鏈條�����,最後成了逼真的退改簽詐騙短信����。
記者昨天(31日)在烏雲(yún)網(wǎng)上看到,僅1月29日一天就有5條涉及航空公司的漏洞得到公司確認��,內(nèi)容涉及:航空公司B2C系統(tǒng)淪陷��,千萬機票資訊可以查看��;民航出入境API系統(tǒng)邏輯缺陷�����,導致出入境實時數(shù)據(jù)洩露;航空公司內(nèi)部員工郵箱賬號和密碼洩露�����,可登錄公司內(nèi)部郵件系統(tǒng)���。不過��,漏洞的細節(jié)並未進入到公開流程�����,還處於保密階段��。
對於烏雲(yún)漏洞報告指出的問題����,航空公司似乎並不賣帳����。東航方面稱,預付卡系統(tǒng)並無漏洞�����,烏雲(yún)的“白帽子”工程師採取了暴力攻擊的方式才進入系統(tǒng)。並稱“如果採取暴力攻擊的方式�����,那沒有系統(tǒng)是絕對安全的��?�!睆B門航空則在確認漏洞時表示���,該系統(tǒng)為舊系統(tǒng),已停用2年���,近期由於內(nèi)部原因重新打開測試��,裏面並未存放旅客資訊�����,近期就將關(guān)閉����。他們認為“這個漏洞的影響不應該被誇大�����。”同樣�,遭到烏雲(yún)網(wǎng)點名的“航旅縱橫”負責人—中航信移動科技有限公司總經(jīng)理薄滿輝在接受本臺記者採訪時也表示:目前因為資訊不對稱,他們對烏雲(yún)所提及的漏洞細節(jié)並不清楚����,但對APP軟體航旅縱橫信心滿滿。
薄滿輝:單純從他這個網(wǎng)上來看的話���,我們查了一下是1月23日和我們相關(guān)的��,但是寫的是航旅縱橫的官網(wǎng)�����,但是如果是單純的官網(wǎng)���,確實我們的功能還是非常的簡單,它的定位僅僅只是一個展示����,一個品牌的宣傳,以及基本功能的一個搭載,它跟用戶是隔離的�����,理論上是不存在在官網(wǎng)上把用戶資訊獲取的問題��。APP方面我們在資訊安全方面的投入上非常非常的大�����,包括涉及用戶敏感的地方:傳輸�����、存儲啊全部採用的是加密的手段的����,我們自身不定期也會模倣駭客���,去不定期的去掃描��、攻擊我們的自身系統(tǒng)��,排查安全隱患����,一旦發(fā)現(xiàn)安全隱患就會及時排除,我們採取的措施還是蠻多的��。
面對多家航空公司和機構(gòu)的回應���,烏雲(yún)網(wǎng)合夥人鄔迪堅持認為:烏雲(yún)的報告是在用數(shù)據(jù)“説話”�,並非空穴來風��。
鄔迪:我們數(shù)據(jù)所有的漏洞都是最終都會公開的���,所以我們都是會説真實的情況�����,因為公開以後如果這東西不符合事實�����,其實相當於我們自己打自己臉�,但是航空公司或者其他的像運營商我們爆出一些漏洞��,他們也説那是試驗系統(tǒng)�����,但是實際上那些東西真的都不是試驗系統(tǒng),從漏洞的角度來講��,我們覺得烏雲(yún)還是更可信一些的�。
鄔迪坦言目前航空公司、票代�、網(wǎng)際網(wǎng)路售票平臺都擁有旅客個人資訊,因此�,旅客資訊洩露的原因並不是很好判斷,既可能有內(nèi)鬼的原因���,也可能是系統(tǒng)受到駭客攻擊造成的。
鄔迪:一種原因就是他自己的管理的問題�,比如説有人他確實往外去賣出去什麼,這個在很多行業(yè)都存在�����。就是他最終的�����,一個是中國所有的機票�,除了春秋航空以外,所有的機票系統(tǒng)是從那個總航信,那這個系統(tǒng)是一個集中的系統(tǒng)�����,所有航空公司出票都要從這個系統(tǒng)走���。那這個系統(tǒng)是一個最頂端的一個環(huán)節(jié)�,然後再往下就是各個航空公司���,然後航空公司它還有代理商�,代理商還能發(fā)展下一位代理商����,就是整個這一條線上的所有人都可以接觸到這個數(shù)據(jù),但是如果這個一條線上�,任何一個點有人去賣出去的話這個可能性都是有的,那這個是管理的問題了�����。第二個就是系統(tǒng)可能存在的一種安全的漏洞的問題�,沒有專職的人去負責安全,系統(tǒng)這種安全漏洞其實挺嚴重的�,所以通過這些渠道的話就是駭客有人想去拿到數(shù)據(jù)�,我們覺得還是有各種辦法能拿的���。
360安全專家趙武認為����,在網(wǎng)際網(wǎng)路高度發(fā)達的今天����,個人資訊似乎真是有些防不勝防的意味。
趙武:以前的資訊化不會介入網(wǎng)際網(wǎng)路�����,但是現(xiàn)在越來越多的就是無紙化辦公導致以前內(nèi)部的系統(tǒng)都已經(jīng)上到網(wǎng)際網(wǎng)路上���,入口多了。不是廠商沒有修護�����,其實在安全上有投入����,但是投入的入口太多了����,對網(wǎng)際網(wǎng)路公開的口太多����,所以會導致疏忽的地方,而這些疏忽的地方對駭客來説就是很大的切入點�����。(記者郭淼 馬闖)
