同时,2015年中航信对代理人系统做出指令修改。2015年之前,代理人系统通过DETR指令可以查询所有旅客的有效客票信息、对应证件号、预留联系方式、常用旅客卡等信息;2015年之后,该指令权限大幅下调,仅可查询在本账号出票的旅客信息。但由于账号放大存在,这种限制依然存在泄露风险。此外,上述航空公司人士告诉记者:“航司B系统没有限制过,所有航司的账号理论上都可以MLB、RT。”
2017年2月,中国民用航空局起草《民航网络信息安全管理规定(暂行)(征求意见稿)》,其中第四十六条指出,“旅客信息或重要生产数据泄露,造成重大影响或经济损失”时,民航行政管理机构应当启动网络信息安全事件调查。
此外,该文件第三十五条要求,民航各单位落实旅客信息保护制度,在“在发生或者可能发生旅客信息泄露时,应当立即采取补救措施”。不过,记者就上述购买到国航B系统事宜咨询国航,国航并未回应记者。
