首頁(yè)>要聞 要聞

多家航空公司信息泄露漏洞被公布 回應(yīng):均不賣帳

2015年02月01日 11:03 | 來(lái)源:中國(guó)廣播網(wǎng)
分享到: 

  原標(biāo)題:多家航空公司信息泄露漏洞被公布 回應(yīng):均不賣帳

 

  據(jù)中國(guó)之聲《新聞縱橫》報(bào)道,就在幾天前,國(guó)內(nèi)最大的漏洞發(fā)布平臺(tái)披露了多起航空公司旅客個(gè)人信息泄露的漏洞。這個(gè)平臺(tái)是烏云網(wǎng)。記者了解到,包括旅客姓名、航班信息、身份證號(hào)、手機(jī)號(hào)在內(nèi)的旅客個(gè)人信息在信息販子手中的價(jià)格每條竟然高達(dá)20元,這些信息經(jīng)過(guò)黑色產(chǎn)業(yè)鏈條,最后成了逼真的退改簽詐騙短信。

  記者昨天(31日)在烏云網(wǎng)上看到,僅1月29日一天就有5條涉及航空公司的漏洞得到公司確認(rèn),內(nèi)容涉及:航空公司B2C系統(tǒng)淪陷,千萬(wàn)機(jī)票信息可以查看;民航出入境API系統(tǒng)邏輯缺陷,導(dǎo)致出入境實(shí)時(shí)數(shù)據(jù)泄露;航空公司內(nèi)部員工郵箱賬號(hào)和密碼泄露,可登錄公司內(nèi)部郵件系統(tǒng)。不過(guò),漏洞的細(xì)節(jié)并未進(jìn)入到公開流程,還處于保密階段。

  對(duì)于烏云漏洞報(bào)告指出的問(wèn)題,航空公司似乎并不賣帳。東航方面稱,預(yù)付卡系統(tǒng)并無(wú)漏洞,烏云的“白帽子”工程師采取了暴力攻擊的方式才進(jìn)入系統(tǒng)。并稱“如果采取暴力攻擊的方式,那沒有系統(tǒng)是絕對(duì)安全的。”廈門航空則在確認(rèn)漏洞時(shí)表示,該系統(tǒng)為舊系統(tǒng),已停用2年,近期由于內(nèi)部原因重新打開測(cè)試,里面并未存放旅客信息,近期就將關(guān)閉。他們認(rèn)為“這個(gè)漏洞的影響不應(yīng)該被夸大。”同樣,遭到烏云網(wǎng)點(diǎn)名的“航旅縱橫”負(fù)責(zé)人—中航信移動(dòng)科技有限公司總經(jīng)理薄滿輝在接受本臺(tái)記者采訪時(shí)也表示:目前因?yàn)樾畔⒉粚?duì)稱,他們對(duì)烏云所提及的漏洞細(xì)節(jié)并不清楚,但對(duì)APP軟件航旅縱橫信心滿滿。

  薄滿輝:?jiǎn)渭儚乃@個(gè)網(wǎng)上來(lái)看的話,我們查了一下是1月23日和我們相關(guān)的,但是寫的是航旅縱橫的官網(wǎng),但是如果是單純的官網(wǎng),確實(shí)我們的功能還是非常的簡(jiǎn)單,它的定位僅僅只是一個(gè)展示,一個(gè)品牌的宣傳,以及基本功能的一個(gè)搭載,它跟用戶是隔離的,理論上是不存在在官網(wǎng)上把用戶信息獲取的問(wèn)題。APP方面我們?cè)谛畔踩矫娴耐度肷戏浅7浅5拇螅ㄉ婕坝脩裘舾械牡胤剑簜鬏?、存?chǔ)啊全部采用的是加密的手段的,我們自身不定期也會(huì)模仿黑客,去不定期的去掃描、攻擊我們的自身系統(tǒng),排查安全隱患,一旦發(fā)現(xiàn)安全隱患就會(huì)及時(shí)排除,我們采取的措施還是蠻多的。

  面對(duì)多家航空公司和機(jī)構(gòu)的回應(yīng),烏云網(wǎng)合伙人鄔迪堅(jiān)持認(rèn)為:烏云的報(bào)告是在用數(shù)據(jù)“說(shuō)話”,并非空穴來(lái)風(fēng)。

  鄔迪:我們數(shù)據(jù)所有的漏洞都是最終都會(huì)公開的,所以我們都是會(huì)說(shuō)真實(shí)的情況,因?yàn)楣_以后如果這東西不符合事實(shí),其實(shí)相當(dāng)于我們自己打自己臉,但是航空公司或者其他的像運(yùn)營(yíng)商我們爆出一些漏洞,他們也說(shuō)那是試驗(yàn)系統(tǒng),但是實(shí)際上那些東西真的都不是試驗(yàn)系統(tǒng),從漏洞的角度來(lái)講,我們覺得烏云還是更可信一些的。

  鄔迪坦言目前航空公司、票代、互聯(lián)網(wǎng)售票平臺(tái)都擁有旅客個(gè)人信息,因此,旅客信息泄露的原因并不是很好判斷,既可能有內(nèi)鬼的原因,也可能是系統(tǒng)受到黑客攻擊造成的。

  鄔迪:一種原因就是他自己的管理的問(wèn)題,比如說(shuō)有人他確實(shí)往外去賣出去什么,這個(gè)在很多行業(yè)都存在。就是他最終的,一個(gè)是中國(guó)所有的機(jī)票,除了春秋航空以外,所有的機(jī)票系統(tǒng)是從那個(gè)總航信,那這個(gè)系統(tǒng)是一個(gè)集中的系統(tǒng),所有航空公司出票都要從這個(gè)系統(tǒng)走。那這個(gè)系統(tǒng)是一個(gè)最頂端的一個(gè)環(huán)節(jié),然后再往下就是各個(gè)航空公司,然后航空公司它還有代理商,代理商還能發(fā)展下一位代理商,就是整個(gè)這一條線上的所有人都可以接觸到這個(gè)數(shù)據(jù),但是如果這個(gè)一條線上,任何一個(gè)點(diǎn)有人去賣出去的話這個(gè)可能性都是有的,那這個(gè)是管理的問(wèn)題了。第二個(gè)就是系統(tǒng)可能存在的一種安全的漏洞的問(wèn)題,沒有專職的人去負(fù)責(zé)安全,系統(tǒng)這種安全漏洞其實(shí)挺嚴(yán)重的,所以通過(guò)這些渠道的話就是黑客有人想去拿到數(shù)據(jù),我們覺得還是有各種辦法能拿的。

  360安全專家趙武認(rèn)為,在互聯(lián)網(wǎng)高度發(fā)達(dá)的今天,個(gè)人信息似乎真是有些防不勝防的意味。

  趙武:以前的信息化不會(huì)介入互聯(lián)網(wǎng),但是現(xiàn)在越來(lái)越多的就是無(wú)紙化辦公導(dǎo)致以前內(nèi)部的系統(tǒng)都已經(jīng)上到互聯(lián)網(wǎng)上,入口多了。不是廠商沒有修護(hù),其實(shí)在安全上有投入,但是投入的入口太多了,對(duì)互聯(lián)網(wǎng)公開的口太多,所以會(huì)導(dǎo)致疏忽的地方,而這些疏忽的地方對(duì)黑客來(lái)說(shuō)就是很大的切入點(diǎn)。 (記者郭淼 馬闖)

 

 

編輯:鞏盼東

關(guān)鍵詞:家航空公司信息泄露 信息泄露漏洞被公布 航班信息 黑色產(chǎn)業(yè)鏈 詐騙短信

更多

更多