数据泄露门槛低
记者在上述渠道购买了两套eTerm系统账号,售价总计1300元。
其中一套为代理人查票账号(AVH),该系统主要作用是为机票代理人通过AVH指令查询可售航班、票价等信息,但也可以根据DETR指令定位乘客半年内的行程。通过中航信官网下载eTerm3.9版本以及指令手册,从0基础到熟练使用部分指令仅需要约1个小时。
录入卖家提供的账号、密码、服务器地址、端口等信息后,登录eTerm系统,记者通过“DETR:NI/身份证”指令,查询多名同事信息,90%的同事行程可查,可以查询票价、预定时间、姓名、身份证号、常用旅客卡等数据。不过,行程信息中存在部分缺漏。卖家告诉记者:“这套系统覆盖率只有60%,在航空公司官网预定的机票,代理人系统里无法查询,航司并不跟代理人共享这些数据。”
行业内将eTerm系统分为机场A系统、航司B系统、代理人C系统三类,上述代理人账号属于C系统。
记者购买到的另一个系统据卖家称“是国航B系统,可查国航、深航”,除了AVH、DETR指令之外,该系统还可以执行RT指令,该指令可以查询包括身份证、姓名、联系方式、常用旅客卡、同行旅客等在内的多种敏感信息。
而且,即使使用者不掌握任何旅客信息,仅仅通过航班号,就可以提取大部分旅客信息。记者以4月20、21日的数个国航航班测试,第一步通过RT指令调取该航班上姓名首字母相同的乘客列表信息以及相应的PNR编码(6位订座记录编码)。第二步,通过RT指令依次查询PNR编码,即可得到该PNR编码对应的旅客姓名、联系方式、身份证信息、团队同行人、常用旅客卡等信息。
经记者测试,在仅仅知道国航航班号、日期的情况下,记者均成功提取到多个授权人的相应信息,其中包括了未出行航班信息、国际航班信息。需要指出,其中有授权人在最近一周内接到过机票退改签诈骗,并且短信中个人信息均属实。