國內最大的漏洞發佈平臺烏雲網12月2日晚發佈了“關於東方航空大量用戶訂單資訊洩露”的漏洞，東航方面昨天表示，烏雲網所發現的漏洞源於某機票代理人系統伺服器受到不明電腦連續惡意攻擊，少數幾位乘客的退票資訊被識別到。

　　烏雲網白帽子“路人甲”在12月2日晚間公開了一個關於東方航空大量用戶訂單資訊洩露的漏洞，該漏洞類型為重要敏感資訊洩露，危害等級為高。業內人士稱這個漏洞會導致旅客姓名、手機號以及航班資訊等資料外泄。

　　12月3日17點，東航稱已經確認漏洞，並向烏雲網反饋。烏雲網顯示東航方面調查結果為：“非東航資訊系統地址已移交公司保衛部及公安進行排查，涉及賬號及對端地址已通知中航信予以關閉。”

　　東航方面昨天告訴記者，經過調查，東航的系統並未出現漏洞，而是某機票代理人系統伺服器受到不明電腦連續攻擊，有少數幾位乘客的退票資訊被識別到，系統自身無資訊泄漏現象。

　　“我們目前已經查到具體是哪一家代理系統受到攻擊，並限制了該代理商的訪問行為。這種攻擊是惡意的，目的是想要讀取其中的數據，我們已向公安機關報案，要找到攻擊源。”東航方面表示。

　　據記者了解，受到影響的並非只有東航，包括山東航空等在內的國內多家航空公司也可能出現少數乘客資訊泄漏的現象。

　　對此，烏雲聯合創始人孟卓表示：“我們的確看到有乘客的敏感資訊泄漏，而且此類數據正是黑色産業、網路詐騙組織所關注的。從媒體、白帽子和周圍人的反饋來看，這種利用資訊泄漏詐騙的事件已經多如牛毛，屢禁不止，但一直未能得到航空企業與代理銷售渠道的重視，詐騙現狀愈發嚴重。”

　　-提醒

　　收到“航班取消”短信請先核實

　　金女士在兩天前剛剛定了東航從北京飛往武漢的機票，然而就在起飛前一晚，當她在網上值機後卻意外地收到了一條署名為“東方航空”的提示短信：“尊敬的金女士，您預訂的12月4日08：05北京-武漢MU2460的航班由於機械故障不能起飛已取消，敬請諒解！請及時聯繫客服400-0335771辦理改簽或退票。退票和改簽額外補償200元，改簽收取20元工本費。”

　　“最近周圍已經有很多人收到了類似的詐騙短信，都是忽悠不知真相的旅客按照他們的要求進行轉賬操作。”金女士説，“但是有真實的姓名、班机編號，還有400電話，看著非常容易上當。”

　　民航專家告訴記者，中航信系統遭到惡意攻擊後，可能導致多家航空公司的旅客資訊洩露。要防止上當受騙，旅客首先要在收到此類短信後向航空公司核實，可以通過航空公司官網、客服電話查詢到航班的真實情況。其次，航空公司的通知短信都是專門號碼發出，一般為航空公司客服電話，如東航為95530。

　　-相關

　　智聯招聘再陷漏洞風波

　　一天前被曝洩露86萬簡歷資訊的智聯招聘剛發公告否認，昨天又陷入漏洞風波中。

　　烏雲白帽子駭客“路人甲”新發了標題為“智聯招聘資訊洩露進入內部郵箱”的報告，稱這一漏洞危害屬於高等級，漏洞類型為重要敏感資訊洩露，細節已通知廠商並且等待廠商處理中。記者從烏雲了解到，企業可以有5天時間來確認漏洞是否存在。

　　對於該漏洞，智聯招聘昨天解釋稱，該漏洞出現的原因是智聯招聘一員工把自己的工作紀要記在雲筆記裏，其中有一個內容是項目溝通的公共郵箱和密碼。這個漏洞只涉及智聯招聘的工作郵箱，不涉及用戶利益，將就此漏洞與烏雲溝通。

　　據了解，一天前，智聯招聘被另一位烏雲白帽子“天地不仁以萬物為芻狗”曝出，智聯招聘存在一嚴重漏洞可導致86萬智聯招聘的用戶簡歷資訊洩露。智聯招聘隨即回應稱，被洩露資訊的用戶雖然標識了“智聯招聘”字樣和標號，但並不是智聯招聘的用戶。昨天，記者就漏洞IP地址繼續追問有漏洞的網站為哪家時，智聯招聘沒有透露。

　　烏雲負責人昨天重申，烏雲從2010年至今共發佈了8萬多條漏洞，一直堅持公開透明的原則，每條漏洞最終都會公開。之所以這麼做，是希望讓用戶了解安全問題的存在。至於企業最後是否承認、怎樣處理，烏雲無法干預也不會去干預。但如果出現了嚴重的漏洞企業卻不承認和整改，後果將不堪設想，目前國內資訊獲取、出售、交易、利用已經成為“一條龍”産業鏈，消費者維權成本太高。