真相 | “买傅园慧送胡歌”? 泄露明星航班信息的幕后黑手到底是谁?

买傅园慧送胡歌?

小编看到这个热搜的时候

真的是一脸茫然

点开才发现原来是

真相 | “买傅园慧送胡歌”? 泄露明星航班信息的幕后黑手到底是谁?_第1张图片

孙杨、傅园慧身份证号40元一个

300元我知道的明星手机号、证件号

打包带走……

从普通旅客莫名收到“航班取消、改签”的短信

到明星航班信息屡被泄露

究竟谁是明星“身份证+航班信息”泄露背后的黑手?

明星航班信息公然叫卖:“孙杨30元,买傅园慧送胡歌”

“张继科在参加某节目飞北京的时候,飞机上所有头等舱和商务舱的票全部被“私生饭”(疯狂粉丝)买光了,他们没有办法最后和工作人员换成了经济舱……”认证为“娱乐评论人”的网民“长腿胡乓”的一条微博,让倒卖明星航班信息的产业链浮出水面。

真相 | “买傅园慧送胡歌”? 泄露明星航班信息的幕后黑手到底是谁?_第2张图片

这样的明星航班信息倒卖在微博上司空见惯,随意搜索都能找到数十个倒卖账号,大部分都是以“明星航班+后缀”的形式存在。“私信我,‘想知道xx,x月x日x飞x航班’,支付后立马回复;也可自己买证件号查询,买号码送查询方法。”一位微博卖家的广告这样写道。

真相 | “买傅园慧送胡歌”? 泄露明星航班信息的幕后黑手到底是谁?_第3张图片

据了解,根据明星名气大小、受欢迎程度的不同,明星航班的报价也会有所不相同。如,孙杨的身份证号,有些报价70元,有些只需40元;手机号和微信号在70-150元之间不等;单条航班信息15-30元。一位卖家说,最近比较火的是奥运红星,买傅园慧证件号可送胡歌证件号;如果再加50元,还能把TFBOYS-王俊凯的证件号打包送出。

300元可租查询系统,信息被“层层转手”

“黑屏”,即“民航旅客订座系统”,是中国民航信息网络股份有限公司(以下简称“中航信”)开发的订票系统。由于操作界面是黑色背景、绿色和黄色字体,因此被称为“黑屏系统”。

“代理商都可以用‘黑屏’查”,一位卖家说,一个月300元就可以获得系统的用户名和密码,输入身份证号就能查到所有航班信息。对于这种买卖是否违规,他表示:“我自己是航空公司的代理商,到时候就说我把账号给自己的员工使用就行了。”

真相 | “买傅园慧送胡歌”? 泄露明星航班信息的幕后黑手到底是谁?_第4张图片

专家认为,机票销售渠道中,航空公司和机票代理商都是容易出现信息泄露的环节。合法的代理商有多个层级,信息层层转手,用一句民航业内人士的话说:“但凡里面有一个图谋不轨的也会造成信息泄露。”

一位民航业内人士直言,航空公司、保险公司、中航信……只要能接触到航班信息的机构都有可能泄露。“所有代理机构要订票都要使用中航信,而且它是航班信息总后台,数据量大,一旦被窃取往往是航班信息大面积泄露。”

此前网络上发布的一份于2015年12月判决的中航信员工利用系统账号非法获取和出售山东航空公司旅客信息案判决书,就将航班信息泄露的源头指向中航信。

环节多、预防少,遏制“黑手”需源头治理

购买机票及保险需登记个人信息原本是为了安全和法律上的考虑,而信息泄露反而给旅客带来安全和财产风险。航班信息泄露之所以屡禁不绝,是因为掌握航班信息的环节多、人员杂,泄露航班信息的行为难以查实,有效的防范措施较少。

真相 | “买傅园慧送胡歌”? 泄露明星航班信息的幕后黑手到底是谁?_第5张图片

依靠事后补救和提高旅客的防骗意识是必要的,但更需加强的是事前预防和源头治理。中国政法大学航空与空间法研究中心研究员张起淮认为,造成航班信息泄露的途径主要有三种,一是工作人员的恶意出售航班信息;二是售票系统安全意识差,通过转链接等形式泄露信息;三是系统被侵入。

“凡是可以接触到旅客信息的机构都有可能泄露,但是最大可能还是后台泄露,内部员工泄露、黑客攻击的可能性都很大,中航信需要加强对信息安全的管理。”中国飞行员协会副秘书长孙慧说。

业内人士表示,民航局应加强对信息的监管,做好事前预防和事后追责,司法机关对违法行为的处罚应更为严厉。同时,张起淮认为,针对机票代理商的审批和管理也需更加谨慎。一方面需抬高机票代理门槛,另一方面加强对航班信息泄露行为的管控。

注意

现在必须隆重推出

数据库安全的有效抓手

昂楷数据库审计系统

昂楷数据库审计系统——数据库安全的有效抓手

从公共安全防护的角度来说,容易泄露信息的机构,应加强信息安全方面的监管,采取数据安全保护措施,在安全方面更上一层台阶。具体可采取以下措施:

1、监控第三方和数据库有交互的行为,提高核心数据库访问权限,减少接触核心数据的人员等,对于非企业内部的人员在企业环境中进行的数据库操作或是信息的获取是重点监控之一;

真相 | “买傅园慧送胡歌”? 泄露明星航班信息的幕后黑手到底是谁?_第6张图片

2、监控核心数据,如涉及姓名、电话等敏感信息,即使有合法权限进行访问也会在第一时间进行报警,让安全人员进行事件的确认;

3、监控异常工具的连接,当发现非法IP、非法工具与数据库进行连接时,立刻发出告警;

4、通过对已发生事件的现场回放进行电子取证,其中包含了事件的几大要素:事件发生的时间、地点、机器名、账号、工具等信息。

法律人士:保护个人信息亟待完善法律机制

法律人士指出,在司法实践中,对于侵害公民个人信息的行为打击力度仍然不够。为了强化对公民个人信息安全保护,2009年2月,刑法修正案(七)增加了非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名。但是,这两个罪名都必须达到“情节严重”方可追究刑事责任,目前认定“情节严重”没有统一标准。

因此,此类罪名的案件全国查办数量不大,司法机关办案经验不多。在已办理的案件中,一般以非法获取公民信息1万条以上作为定罪参考依据,但这需要司法解释进一步明确。

你可能感兴趣的:(真相 | “买傅园慧送胡歌”? 泄露明星航班信息的幕后黑手到底是谁?)