|
多家航空公司泄露信息漏洞被公開 但不回應(yīng)漏洞修復(fù)問題瀏覽數(shù):197次
據(jù)我國之聲《新聞縱橫》報導(dǎo),就在幾天前,國內(nèi)最大的縫隙發(fā)布途徑披露了多起航空公司旅客個人信息走漏的縫隙。這個途徑是烏云網(wǎng)。記者了解到,包括旅客名字、航班信息、身份證號、手機號在內(nèi)的旅客個人信息在信息估客手中的報價每條居然高達20元,這些信息經(jīng)過黑色工業(yè)鏈條,最后成了傳神的退改簽欺詐短信。 記者昨日(31日)在烏云網(wǎng)上看到,僅1月29日一天就有5條觸及航空公司的縫隙得到公司承認(rèn),內(nèi)容觸及:航空公司B2C體系淪亡,千萬機票信息能夠檢查;民航出入境API體系邏輯缺點,致使出入境實時數(shù)據(jù)走漏;航空公司內(nèi)部職工郵箱賬號和暗碼走漏,可登錄公司內(nèi)部郵件體系。不過,縫隙的細(xì)節(jié)并未進入到揭露流程,還處于保密期間。 關(guān)于烏云縫隙報告指出的疑問,航空公司好像并不賣帳。東航方面稱,預(yù)付卡體系并無縫隙,烏云的“白帽子”工程師采納了暴力進犯的方法才進入體系。并稱“假如采納暴力進犯的方法,那沒有體系是肯定安全的?!睆B門航空則在承認(rèn)縫隙時表明,該體系為舊體系,已停用2年,近期由于內(nèi)部緣由從頭翻開測驗,里邊并未寄存旅客信息,近期就將關(guān)閉。他們以為“這個縫隙的影響不應(yīng)該被夸張。”相同,遭到烏云網(wǎng)點名的“航旅縱橫”擔(dān)任人—中航信移動科技有限公司總經(jīng)理薄滿輝在承受本臺記者采訪時也表明:當(dāng)前由于信息不對稱,他們對烏云所提及的縫隙細(xì)節(jié)并不明白,但對APP軟件航旅縱橫決心滿滿。 薄滿輝:單純從他這個網(wǎng)上來看的話,咱們查了一下是1月23日和咱們有關(guān)的,可是寫的是航旅縱橫的官網(wǎng),可是假如是單純的官網(wǎng),的確咱們的功能仍是十分的簡單,它的定位僅僅只是一個展示,一個品牌的宣揚,以及基本功能的一個搭載,它跟用戶是阻隔的,理論上是不存在在官網(wǎng)上把用戶信息獲取的疑問。APP方面咱們在信息安全方面的投入上十分十分的大,包括觸及用戶靈敏的當(dāng)?shù)兀簜鬏敗⒋鎯Π∠?shù)選用的是加密的手法的,咱們本身不定期也會模仿黑客,去不定期的去掃描、進犯咱們的本身體系,排查安全隱患,一旦發(fā)現(xiàn)安全隱患就會及時掃除,咱們采納的方法仍是蠻多的。 面對多家航空公司和組織的回答,烏云網(wǎng)合伙人鄔迪堅持以為:烏云的報告是在用數(shù)據(jù)“說話”,并非空穴來風(fēng)。 鄔迪:咱們數(shù)據(jù)一切的縫隙都是終究都會揭露的,所以咱們都是會說實在的狀況,由于揭露今后假如這東西不符合現(xiàn)實,本來相當(dāng)于咱們自個打自個臉,可是航空公司或許其他的像運營商咱們爆出一些縫隙,他們也說那是實驗體系,可是實際上那些東西真的都不是實驗體系,從縫隙的視點來講,咱們覺得烏云仍是更可信一些的。 鄔迪坦言當(dāng)前航空公司、票代、互聯(lián)網(wǎng)售票途徑都具有旅客個人信息,因而,旅客信息走漏的緣由并不是極好判別,既也許有內(nèi)鬼的緣由,也也許是體系遭到黑客進犯形成的。 鄔迪:一種緣由即是他自個的辦理的疑問,比如說有人他的確往外去賣出去啥,這個在許多行業(yè)都存在。即是他終究的,一個是我國一切的機票,除了春秋航空以外,一切的機票體系是從那個總航信,那這個體系是一個集中的體系,一切航空公司出票都要從這個體系走。那這個體系是一個最頂端的一個環(huán)節(jié),然后再往下即是各個航空公司,然后航空公司它還有代理商,代理商還能發(fā)展下一位代理商,即是全部這一條線上的一切人都能夠接觸到這個數(shù)據(jù),可是假如這個一條線上,任何一個點有人去賣出去的話這個也許性都是有的,那這個是辦理的疑問了。第二個即是體系也許存在的一種安全的縫隙的疑問,沒有專職的人去擔(dān)任安全,體系這種安全縫隙本來挺嚴(yán)重的,所以經(jīng)過這些途徑的話即是黑客有人想去拿到數(shù)據(jù),咱們覺得仍是有各種方法能拿的。 360安全專家趙武以為,在互聯(lián)網(wǎng)高度發(fā)達的今天,個人信息好像真是有些防不勝防的意味。 趙武:曾經(jīng)的信息化不會介入互聯(lián)網(wǎng),可是如今越來越多的即是無紙化工作致使曾經(jīng)內(nèi)部的體系都已經(jīng)上到互聯(lián)網(wǎng)上,入口多了。不是廠商沒有修護,本來在安全上有投入,可是投入的入口太多了,對互聯(lián)網(wǎng)揭露的口太多,所以會致使忽略的當(dāng)?shù)?,而這些忽略的當(dāng)?shù)貙诳蛠碚f即是很大的切入點。 |