东航被曝系统漏洞 或致大量用户订单信息泄露

 　　乌云漏洞在12月2日晚间公开了一个关于东方航空大量用户订单信息泄露的漏洞。该漏洞于12月2日提交，漏洞类型为重要敏感信息泄露，危害等级为高。

　　12月2日20:19，乌云白帽子“路人甲”提交了一个关于“东方航空大量用户订单信息泄露”的漏洞，不过目前，漏洞状态仍然是“等待厂商处理”。

　　资深航空从业人士指出，这样的漏洞会导致关于旅客姓名、手机号以及航班信息等资料外泄。“近期航班短信诈骗频发，如果这些重要信息被不法分子拿到，后果不堪设想。”

　　据悉，今年8月份在乌云平台，东航被曝SQL注入漏洞大量乘客信息泄露。帖子中发现这一漏洞的白帽黑客当时曾这样表述：“乘客信息惨不忍睹的暴露无遗。包括姓名，出生日期，护照ID，地址等等!忘引起重视尽快修复! ”从公开信息看，这一漏洞随后得到了厂商的确认。

　　旅客投诉曾遭航班短信诈骗

　　今年8月份，有媒体报道称，乘客刘女士在航班起飞前收到这样一条短信：“东方航空尊敬的刘××(注：此处的名字就是旅客真名)旅客您好!您预订的航班因飞机故障原因导致航班已被取消，请联系客服办理免费改签或退票，改签退票都可获得东航赔付给您的200元损失，东方航空客服热线4006227003。”该短信随后被东航工作人员确认是诈骗短信。

　　而在微博上，有类似遭遇的旅客并不少见。10月28日，微博名为“咩咩不咩”的网友发文称：“我妈妈10月24号通过12580订了一张东方航空的机票，事隔三天资料泄露，被不法分子诈骗10万元，向12580和东方航空求证也得不到任何回应，今天妈妈都差点晕死过去，我实在是难过却又不知道怎么办了，只能抱着这一点希望，求大家帮忙扩散转发，谢谢了。”

　　11月16日，名为“小小南liv”发文称：“图一是我自东方航空公司官网定票后收到的航班信息，图二是刚才收到的诈骗信息。我就想问问东航，客户信息你们卖多少钱一斤?!”

　　上述业内人士指出，虽然不能确定这些旅客信息泄露的源头就是东航的系统，但给消费者造成伤害已经显而易见。东航系统漏洞的存在更是相当于将旅客信息赤裸裸地暴露在犯罪分子的目光之下，航空公司方面应引起足够重视并及时予以修补。

责编：xwxw