记者昨天(31日)在乌云网上看到,仅1月29日一天就有5条涉及航空公司的漏洞得到公司确认,内容涉及:航空公司B2C系统沦陷,千万机票信息可以查看;民航出入境API系统逻辑缺陷,导致出入境实时数据泄露;航空公司内部员工邮箱账号和密码泄露,可登录公司内部邮件系统。不过,漏洞的细节并未进入到公开流程,还处于保密阶段。
对于乌云漏洞报告指出的问题,航空公司似乎并不卖帐。东航方面称,预付卡系统并无漏洞,乌云的“白帽子”工程师采取了暴力攻击的方式才进入系统。并称“如果采取暴力攻击的方式,那没有系统是绝对安全的。”厦门航空则在确认漏洞时表示,该系统为旧系统,已停用2年,近期由于内部原因重新打开测试,里面并未存放旅客信息,近期就将关闭。他们认为“这个漏洞的影响不应该被夸大。”同样,遭到乌云网点名的“航旅纵横”负责人—中航信移动科技有限公司总经理薄满辉在接受本台记者采访时也表示:目前因为信息不对称,他们对乌云所提及的漏洞细节并不清楚,但对APP软件航旅纵横信心满满。
薄满辉:单纯从他这个网上来看的话,我们查了一下是1月23日和我们相关的,但是写的是航旅纵横的官网,但是如果是单纯的官网,确实我们的功能还是非常的简单,它的定位仅仅只是一个展示,一个品牌的宣传,以及基本功能的一个搭载,它跟用户是隔离的,理论上是不存在在官网上把用户信息获取的问题。APP方面我们在信息安全方面的投入上非常非常的大,包括涉及用户敏感的地方:传输、存储啊全部采用的是加密的手段的,我们自身不定期也会模仿黑客,去不定期的去扫描、攻击我们的自身系统,排查安全隐患,一旦发现安全隐患就会及时排除,我们采取的措施还是蛮多的。
面对多家航空公司和机构的回应,乌云网合伙人邬迪坚持认为:乌云的报告是在用数据“说话”,并非空穴来风。
邬迪:我们数据所有的漏洞都是最终都会公开的,所以我们都是会说真实的情况,因为公开以后如果这东西不符合事实,其实相当于我们自己打自己脸,但是航空公司或者其他的像运营商我们爆出一些漏洞,他们也说那是试验系统,但是实际上那些东西真的都不是试验系统,从漏洞的角度来讲,我们觉得乌云还是更可信一些的。
邬迪坦言目前航空公司、票代、互联网售票平台都拥有旅客个人信息,因此,旅客信息泄露的原因并不是很好判断,既可能有内鬼的原因,也可能是系统受到黑客攻击造成的。
邬迪:一种原因就是他自己的管理的问题,比如说有人他确实往外去卖出去什么,这个在很多行业都存在。就是他最终的,一个是中国所有的机票,除了春秋航空以外,所有的机票系统是从那个总航信,那这个系统是一个集中的系统,所有航空公司出票都要从这个系统走。那这个系统是一个最顶端的一个环节,然后再往下就是各个航空公司,然后航空公司它还有代理商,代理商还能发展下一位代理商,就是整个这一条线上的所有人都可以接触到这个数据,但是如果这个一条线上,任何一个点有人去卖出去的话这个可能性都是有的,那这个是管理的问题了。第二个就是系统可能存在的一种安全的漏洞的问题,没有专职的人去负责安全,系统这种安全漏洞其实挺严重的,所以通过这些渠道的话就是黑客有人想去拿到数据,我们觉得还是有各种办法能拿的。
360安全专家赵武认为,在互联网高度发达的今天,个人信息似乎真是有些防不胜防的意味。
赵武:以前的信息化不会介入互联网,但是现在越来越多的就是无纸化办公导致以前内部的系统都已经上到互联网上,入口多了。不是厂商没有修护,其实在安全上有投入,但是投入的入口太多了,对互联网公开的口太多,所以会导致疏忽的地方,而这些疏忽的地方对黑客来说就是很大的切入点。