80元买到鹿晗等明星的航班行程，这事在App里真的发生了

就像没有买卖就没有杀害一样，有粉丝那么关心明星的行程等，自然就有人来找漏洞，给你搞到这些信息：

新京报记者调查发现，航空APP如今正成为乘客航班信息泄露的重要渠道，信息泄露的渠道包括了部分航空公司的官方APP、第三方航班APP以及航空公司的官网。

“只要知道明星的姓名和身份证号，能把他的预出行行程全部查到。”一位在网上贩卖明星行程的商家称。

新京报记者获知，明星的航班报价按照飞行区域不同，每条价格在15-40元左右。记者在花费80元后，即获得两份鹿晗近期的航班信息。此外，记者还花45元获得了两份周杰伦近期的航班信息。

记者在微博、微信和QQ群里，发现数个专营出售演艺明星航空信息的商家。

记者加过一个售卖明星航班信息的微信号，我们暂且叫它“大内密探”吧，其微信资料写着“专职销售‘明星航班’信息”。其朋友圈中，每天详细更新着鹿晗、张艺兴、迪丽热巴等数十位当红艺人最新的航班日程，以及起始地址。

“你想要谁的行程都可以。国内航班信息每条15元，港澳台以及国际航班信息30元一条。“大内密探”介绍说。

新京报记者在其朋友圈内看到，除了明星航班信息外，就连对方证件号、护照号都在以80元-500元不等的价格进行销售。

记者随即以“鹿晗粉丝”为名，希望得到其最新的行程。而对方解释由于“鹿晗太火了”，所以要价也比普通艺人费用更高一些。

在支付了80元后，对方很快发来了鹿晗的航班行程：5月17日从北京首都机场乘坐海航HU79××航班飞往捷克布拉格，5月19日乘坐海航HU79××从捷克布拉格返回北京首都机场。

记者随后在网上查询发现，鹿晗所参加的综艺节目《奔跑吧》最后一期录制场地正是位于捷克。

当记者咨询能否查询普通乘客航班号时，“大内密探”表示，“只要50元学费，能传授方法”，并承诺学会后能查询任何人的航班预出行信息。

经过不到20分钟的“教学指导”后，新京报记者发现查询方法，即是通过航班管家这些第三方航程APP的系统漏洞进行查询。但必要前提是需要知道对方的相关证件信息。

记者注册航班管家APP过程中，“大内密探”特意一再叮嘱“姓名、身份证都能随便填，但手机号一定要留自己的，方便接收验证码。”

进入APP后，记者在“行程服务”中点击“手机值机选座”选项，在“凭证号”以及“姓名”处输入同事的身份证号码和姓名后，开始选择不同的航空公司进行“办理值机”尝试。

最终，记者在切换到一家航空公司后，顺利找到同事10分钟前所预订的由北京飞往青岛的航程信息。点击进入后，同事姓名、航班起始地点、飞行日期、航班号以及座位号等相关信息均被详细显示出来。

“如此一来，你想查谁的登机情况都能轻松查到，到时候你还可以选择他相邻的座位。”““大内密探”说。

“其实很多航空公司官网都存在或多或少的漏洞。”5月10日，一位航空行业资深人士说，“通常航空公司只确定乘客姓名和身份证即可，但很少对手机进行绑定，所以很多信息正是从这一漏洞泄露出去。”

新京报记者登录几家知名航空公司的官网也发现，在办理登机流程时，只需要输入相应身份证和用户姓名即可，并没有通过注册时所绑定的手机号进行短信验证这一环节。

事实上，在多位“商家”传授航班信息查询方法时都特意叮嘱，查询者的姓名、身份证号码可以随便填写，但“务必要用自己的手机号码”。其原因正是“方便提示输入手机验证码时，好用来接受短信”。

“很难想象这种大型航空公司会出现如此漏洞。”上述商家对新京报记者说，“一家航空公司会员有3000多万人，这给了我们极大的利益空间。”

当记者向该商家咨询每月以“查询航班”的模式赚多少钱，他称，“几千到上万元”，“很多做得好的，每个月动辄近十万元”。

“第三方APP以及官网所造成的信息泄露，只是整个航空行业冰山一角。如今航空信息泄露源头实在太多。”5月10日，一位多年从事航空管理工作的人士称，“泄密涉及环节太多，根本不清楚究竟是哪一环出现问题。”

新京报记者在调查时发现，尽管信息泄露渠道繁多，但源头指向了中航信Eterm系统。所谓Eterm系统，即为民航旅客订座系统，其是中航信信息系统下属系统之一。如今国内各大航空公司的订票系统，基本都使用的是中国民航信息集团公司系统。而这款系统面向航空公司、机场、机票销售代理等机构，主要提供航空客运业务、航空旅游电子分销等服务。

作为中航信系统核心之一，Eterm系统不仅可以查到航班的座位预订情况，还能详尽地查阅到每班航班上的订位编码，乘客的座位、舱位、姓名、证件号、电话号码等诸多隐私信息信息。

此前曾有国内媒体报道称，有权限查看并有可能泄露信息的源头，主要有机票代理商、航空公司工作人员、中航信工作人员，以及黑客这四大类人群。他们通过不同渠道和权限，在Eterm系统上查到乘客详细资料。

4月21日，《南方都市报》曾就Eterm系统报道称，经销商在中航信处购买Eterm系统后，中航信通常只会发出相应的单独账号，然而这一账号可以通过软件分出数个登录小号。这套软件任何人都可以下载，下载安装之后，只要有登录账号就可以访问中航信的数据库。

5月10日，记者在相应QQ群、贴吧等网友集中的网站发现，数家出租出售Eterm系统的商家混杂其中。而系统租赁价格也按照查询功能多少，从数百元到近万元不等。

“你只要购买航司B系统，能查到相关信息。”得知记者意欲查阅行程信息时，一位商家热情推荐到，“通过这个系统，你能查到包括身份证、姓名、联系方式、常用旅客卡等多个信息。”

由于从Eterm系统源头到乘客，中间经历了中航信、航空公司、票代、在线订购网站、第三方航空APP等多个环节。每个环节都存在信息泄露的可能性，也导致乘客在维权时，因无法精准地找到泄露源头，不得不面临着“取证困难”的困局。

实际上，中国民用航空局曾于2017年2月就《民航网络信息安全管理划定（暂行）（征求意见稿）》公开征求意见。

其中针对“退改签诈骗”、“航空诈骗”等问题做出规定：民航各单位应当制定旅客信息保护轨制，对在提供服务过程中收集、使用的旅客信息，应当采取相应措施严格保护，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。而对于此前曾多次爆出信息泄露的第三方平台，更是强调称，民航各单位将旅客信息转移或委托给其他组织或机构使用的，应当签订旅客信息保护协议，明确旅客信息使用范围和保护责任。

“规定具体能带来怎样的效果，现阶段谁也说不清楚。”前述多年从事航空管理工作人士称，“多个泄密渠道的存在，导致现在谁也不知道自己的信息被多少人掌握。”

“所以，如果你做飞机，那么你的信息就泄露了，要是谁给你感兴趣，就能查到你的航班信息，甚至可能就坐到你航班上的隔壁。”

这不仅仅是App漏洞的错，还有整个航班信息系统的问题。期待整个行业信息安全尽快做起来。