多家航空公司泄露信息漏洞被公開(kāi) 但不回應(yīng)漏洞修復(fù)問(wèn)題

據(jù)我國(guó)之聲《新聞縱橫》報(bào)導(dǎo)，就在幾天前，國(guó)內(nèi)最大的縫隙發(fā)布途徑披露了多起航空公司旅客個(gè)人信息走漏的縫隙。這個(gè)途徑是烏云網(wǎng)。記者了解到，包括旅客名字、航班信息、身份證號(hào)、手機(jī)號(hào)在內(nèi)的旅客個(gè)人信息在信息估客手中的報(bào)價(jià)每條居然高達(dá)20元，這些信息經(jīng)過(guò)黑色工業(yè)鏈條，最后成了傳神的退改簽欺詐短信。

　　記者昨日（31日）在烏云網(wǎng)上看到，僅1月29日一天就有5條觸及航空公司的縫隙得到公司承認(rèn)，內(nèi)容觸及：航空公司B2C體系淪亡，千萬(wàn)機(jī)票信息能夠檢查；民航出入境API體系邏輯缺點(diǎn)，致使出入境實(shí)時(shí)數(shù)據(jù)走漏；航空公司內(nèi)部職工郵箱賬號(hào)和暗碼走漏，可登錄公司內(nèi)部郵件體系。不過(guò)，縫隙的細(xì)節(jié)并未進(jìn)入到揭露流程，還處于保密期間。

　　關(guān)于烏云縫隙報(bào)告指出的疑問(wèn)，航空公司好像并不賣(mài)帳。東航方面稱(chēng)，預(yù)付卡體系并無(wú)縫隙，烏云的“白帽子”工程師采納了暴力進(jìn)犯的方法才進(jìn)入體系。并稱(chēng)“假如采納暴力進(jìn)犯的方法，那沒(méi)有體系是肯定安全的?！睆B門(mén)航空則在承認(rèn)縫隙時(shí)表明，該體系為舊體系，已停用2年，近期由于內(nèi)部緣由從頭翻開(kāi)測(cè)驗(yàn)，里邊并未寄存旅客信息，近期就將關(guān)閉。他們以為“這個(gè)縫隙的影響不應(yīng)該被夸張?！毕嗤獾綖踉凭W(wǎng)點(diǎn)名的“航旅縱橫”擔(dān)任人—中航信移動(dòng)科技有限公司總經(jīng)理薄滿輝在承受本臺(tái)記者采訪時(shí)也表明：當(dāng)前由于信息不對(duì)稱(chēng)，他們對(duì)烏云所提及的縫隙細(xì)節(jié)并不明白，但對(duì)APP軟件航旅縱橫決心滿滿。

　　薄滿輝：?jiǎn)渭儚乃@個(gè)網(wǎng)上來(lái)看的話，咱們查了一下是1月23日和咱們有關(guān)的，可是寫(xiě)的是航旅縱橫的官網(wǎng)，可是假如是單純的官網(wǎng)，的確咱們的功能仍是十分的簡(jiǎn)單，它的定位僅僅只是一個(gè)展示，一個(gè)品牌的宣揚(yáng)，以及基本功能的一個(gè)搭載，它跟用戶是阻隔的，理論上是不存在在官網(wǎng)上把用戶信息獲取的疑問(wèn)。APP方面咱們?cè)谛畔踩矫娴耐度肷鲜质值拇螅ㄓ|及用戶靈敏的當(dāng)?shù)兀簜鬏?、存?chǔ)啊悉數(shù)選用的是加密的手法的，咱們本身不定期也會(huì)模仿黑客，去不定期的去掃描、進(jìn)犯咱們的本身體系，排查安全隱患，一旦發(fā)現(xiàn)安全隱患就會(huì)及時(shí)掃除，咱們采納的方法仍是蠻多的。

　　面對(duì)多家航空公司和組織的回答，烏云網(wǎng)合伙人鄔迪堅(jiān)持以為：烏云的報(bào)告是在用數(shù)據(jù)“說(shuō)話”，并非空穴來(lái)風(fēng)。

　　鄔迪：咱們數(shù)據(jù)一切的縫隙都是終究都會(huì)揭露的，所以咱們都是會(huì)說(shuō)實(shí)在的狀況，由于揭露今后假如這東西不符合現(xiàn)實(shí)，本來(lái)相當(dāng)于咱們自個(gè)打自個(gè)臉，可是航空公司或許其他的像運(yùn)營(yíng)商咱們爆出一些縫隙，他們也說(shuō)那是實(shí)驗(yàn)體系，可是實(shí)際上那些東西真的都不是實(shí)驗(yàn)體系，從縫隙的視點(diǎn)來(lái)講，咱們覺(jué)得烏云仍是更可信一些的。

　　鄔迪坦言當(dāng)前航空公司、票代、互聯(lián)網(wǎng)售票途徑都具有旅客個(gè)人信息，因而，旅客信息走漏的緣由并不是極好判別，既也許有內(nèi)鬼的緣由，也也許是體系遭到黑客進(jìn)犯形成的。

　　鄔迪：一種緣由即是他自個(gè)的辦理的疑問(wèn)，比如說(shuō)有人他的確往外去賣(mài)出去啥，這個(gè)在許多行業(yè)都存在。即是他終究的，一個(gè)是我國(guó)一切的機(jī)票，除了春秋航空以外，一切的機(jī)票體系是從那個(gè)總航信，那這個(gè)體系是一個(gè)集中的體系，一切航空公司出票都要從這個(gè)體系走。那這個(gè)體系是一個(gè)最頂端的一個(gè)環(huán)節(jié)，然后再往下即是各個(gè)航空公司，然后航空公司它還有代理商，代理商還能發(fā)展下一位代理商，即是全部這一條線上的一切人都能夠接觸到這個(gè)數(shù)據(jù)，可是假如這個(gè)一條線上，任何一個(gè)點(diǎn)有人去賣(mài)出去的話這個(gè)也許性都是有的，那這個(gè)是辦理的疑問(wèn)了。第二個(gè)即是體系也許存在的一種安全的縫隙的疑問(wèn)，沒(méi)有專(zhuān)職的人去擔(dān)任安全，體系這種安全縫隙本來(lái)挺嚴(yán)重的，所以經(jīng)過(guò)這些途徑的話即是黑客有人想去拿到數(shù)據(jù)，咱們覺(jué)得仍是有各種方法能拿的。

　　360安全專(zhuān)家趙武以為，在互聯(lián)網(wǎng)高度發(fā)達(dá)的今天，個(gè)人信息好像真是有些防不勝防的意味。

　　趙武：曾經(jīng)的信息化不會(huì)介入互聯(lián)網(wǎng)，可是如今越來(lái)越多的即是無(wú)紙化工作致使曾經(jīng)內(nèi)部的體系都已經(jīng)上到互聯(lián)網(wǎng)上，入口多了。不是廠商沒(méi)有修護(hù)，本來(lái)在安全上有投入，可是投入的入口太多了，對(duì)互聯(lián)網(wǎng)揭露的口太多，所以會(huì)致使忽略的當(dāng)?shù)?，而這些忽略的當(dāng)?shù)貙?duì)黑客來(lái)說(shuō)即是很大的切入點(diǎn)。