近年来,频发的个人隐私信息泄露事件已经让大众对保护个人隐私提高了重视,大部分人在晒出机票的时候,会有意识的对电子登机牌上面的姓名、客票号、卡号等关键信息打上马赛克,但却忽视了对二维码进行遮挡。殊不知它的重要程度与前述信息同样重要,通过二维码也可以轻而易举地获取旅客的大量重要隐私信息。
电子登机牌二维码是如何泄露个人隐私信息的?
安全419选取了一张通过百度搜索到的中国国航由海南飞往首都机场的电子登机牌,通过微信识别二维码后,读取到了以下数据:
M1LIJIAN-EMF7D2P-HAKPEKCA-1356-072V036B0055
12B>1030M-M0E99985433990780
NI610113196609130031
这其中有什么奥妙呢?在以上识别出来的数据当中,其中M1代表格式代码;LIJIAN为对应的乘客姓名;EMF7D2P为民航系统所生成的乘客订座记录PNR编码;HAK代表海口美兰机场的代码,PEK代表着北京首都机场的代码,CA1356则是中国航空1356次航班;072为儒略日(JULIANDAY)计数时间,即从2018年起1月1日起第72天,2018年3月13日;V036B 中,V代表舱位等级为经济舱,036B代表座位号,0055代表值机序列。
可以发现,包括该名乘客的姓名、始发地、目的地、航班号、航班日期、舱位、座位号、登机序号等大量隐私信息泄露了出去。依据航班轨迹信息,你曾经去过哪里,乘坐了哪趟航班,座位号是多少等等信息都在别有用心的人眼中一览无余。
来自中国民航第二研究所(民航成都电子技术有限责任公司)的技术部总助——马勇告诉安全419(anquan419.com),随着数字化的发展,全球各航空公司已经大量的采用无纸化登机形式,将包含旅客航班信息的QR二维码发送给旅客,以便于旅客在移动端办理值机、登机。
不过,除了方便之外,马勇指出了其背后的隐患——由于民航电子登机牌上面的二维码是明文信息,因此使用微信扫一扫功能就可以轻易获取乘客详尽的航班信息,甚至包括百度上可以搜出的那些大量包含电子登机牌二维码的图片同样可以扫出这些信息。
电子登机牌二维码泄露事件相关报道早已出现
而据安全419调查,早在2016年,关于电子登机牌条形码、二维码泄露个人隐私信息的报道就已经被多方媒体报道,并引起大众热议,但时至今日,相关数据隐私保护问题仍然停滞尚未解决。
与常见的“广撒网式”的随机电信诈骗不同,依靠旅客航班信息来实施精准诈骗,极易获取受害人信任,近年来遭遇类似诈骗的旅客也早已屡见不鲜。为什么至今仍然未能针对旅客无意泄露自身隐私这一现象提出有效的改进措施呢?
马勇谈到,目前电子登机牌所采用的的二维码编码方式是国际统一标准的,这样能够实现全球各国为旅客提供统一标准的服务。如今电子登机牌二维码已经暴露出了相关的信息安全风险,民航正在通过数据加密等技术手段为旅客信息安全提供更多保障,但推动国际航协组织修改完善新的安全的编码方式仍然有很长的路要走。
那么对于经常需要通过航空方式出行的旅客来说,应该确保自身的信息安全呢?马勇建议,旅客应该尽量选择固定的购票渠道,控制信息泄露的途径和便于追溯。一定不要在例如朋友圈、微博等社交软件中随意向他人展示自己的电子登机牌。
此外,要注意加强个人信息保护意识。个人信息泄露的途径很多,如果在其他途径泄露过自己的个人信息,也会影响到在民航的业务。比如,如果旅客曾经在其他途径泄露了自身的姓名和身份证号,那么不法分子在自助值机机器上面就可以查询到该名旅客的出行信息。马勇最后特别强调,如果在订票后收到航班延误等信息,一定要向航空公司官方求证,谨防上当受骗。