東航被曝系統漏洞或致大量使用者訂單資訊洩露

烏雲漏洞在12月2日晚間公開了一個關於東方航空大量使用者訂單資訊洩露的漏洞。 該漏洞于12月2日提交，漏洞類型為重要敏感資訊洩露，危害等級為高。 12月2日20:19，烏雲白帽子「路人甲」提交了一個關於「東方航空大量使用者訂單資訊洩露」的漏洞，不過目前，漏洞狀態仍然是「等待廠商處理」。 資深航空從業人士指出，這樣的漏洞會導致關於旅客姓名、手機號以及航班資訊等資料外泄。 「近期航班短信詐騙頻發，如果這些重要資訊被不法分子拿到，後果不堪設想。 」據悉，今年8月份在烏雲平臺，東航被曝SQL注入漏洞大量乘客資訊洩露。 帖子中發現這一漏洞的白帽駭客當時曾這樣表述：「乘客資訊慘不忍睹的暴露無遺。 包括姓名，出生日期，護照ID，位址等等!忘引起重視儘快修復! 」從公開資訊看，這一漏洞隨後得到了廠商的確認。 旅客投訴曾遭航班短信詐騙今年8月份，有媒體報導稱，乘客劉女士在航班起飛前收到這樣一條短信：「東方航空尊敬的劉××(注：此處的名字就是旅客真名)旅客您好!您預訂的航班因飛機故障原因導致航班已被取消， 請聯繫客服辦理免費改簽或退票，改簽退票都可獲得東航賠付給您的200元損失，東方航空客服熱線4006227003。 」該短信隨後被東航工作人員確認是詐騙短信。 而在微博上，有類似遭遇的旅客並不少見。 10月28日，微博名為「咩咩不咩」的網友發文稱：「我媽媽10月24號通過12580訂了一張東方航空的機票，事隔三天資料洩露，被不法分子詐騙10萬元，向12580和東方航空求證也得不到任何回應，今天媽媽都差點暈死過去， 我實在是難過卻又不知道怎麼辦了，只能抱著這一點希望，求大家幫忙擴散轉發，謝謝了。 」11月16日，名為「小小南liv」發文稱：「圖一是我自東方航空公司官網定票後收到的航班資訊，圖二是剛才收到的詐騙資訊。 我就想問問東航，客戶資訊你們賣多少錢一斤？!」 上述業內人士指出，雖然不能確定這些旅客資訊洩露的源頭就是東航的系統，但給消費者造成傷害已經顯而易見。 東航系統漏洞的存在更是相當於將旅客資訊赤裸裸地暴露在犯罪分子的目光之下，航空公司方面應引起足夠重視並及時予以修補。