乌云网数据显示,目前东航方面已经确认了该漏洞。乌云网创始人之一孟卓告诉记者,这个漏洞的细节还未进入到公开流程,处于保密阶段。但该漏洞可能会导致预付卡中的钱被盗取。
不只是东航,记者看到,在乌云公布的已被企业确认的系统漏洞中,近期涉及航空业的占到相当比例,包括厦门航空、上海航空以及值机常用的APP软件航旅纵横等。
乌云漏洞报告指出,厦门航空B2B管理系统沦陷,可查任意乘客机票信息、修改任意代理机构密码、添加代理商等。
对此,厦门航空在确认漏洞时表示,该系统为旧系统,已停用多时,近期由于内部原因重新打开测试,里面并未存放旅客信息,近期就将关闭。“这个漏洞的影响不应该被夸大。”厦门航空方面表示,“里面的旅客信息是其他航空公司的信息,我司已经2年不用该系统。”
东航方面昨天则称,预付卡系统并无漏洞,乌云的“白帽子”工程师采取了暴力攻击的方式才进入系统。“如果采取暴力攻击的方式,那没有系统是绝对安全的。”东航方面表示,目前东航已经采取了安全强化措施对系统进行了加固,现在用户账户是安全的。
>>揭秘
个人关键信息黑市每条卖20元
金女士不久前订了东航从北京飞往武汉的机票,然而就在起飞前一晚,当她在网上值机后却意外地收到了一条署名为“东方航空”的提示短信:“尊敬的金女士,您预订的1月24日08:05北京-武汉航班由于机械故障不能起飞已取消,敬请谅解!请及时联系客服400-0335771办理改签或退票。退票和改签额外补偿200元,改签收取20元工本费。”
这样精准的诈骗短信旅客信息究竟从何而来?乌云网的一位资深“白帽子”告诉京华时报记者,为了搞清所泄露的旅客个人信息究竟怎样变成逼真的退改签诈骗短信,他专门假扮买家购买信息,从黑产数据贩子手中看到了旅客信息是交易的重点。
记者看到,这位名为“陈飞”的数据贩子是通过QQ进行交易的,其QQ签名上赫然写着“每天早晨10点准时出料,量大提前预订,下午料5点出,晚上料9点出。”
“白帽子”给记者展示的交易数据显示,旅客姓名、航空公司、航班信息、起降时间、身份证号、手机号、票号信息应有尽有。而这样的信息每条售价居然高达20元。