监控机构发布春秋航空APP漏洞 航企称已修复
央广网财经北京8月3日消息 据经济之声《天下公司》报答,国内从事互联网安全漏洞监控的机构乌云网发布的一份报告显示,春秋航空公司手机客户端存在安全漏洞,使用这个APP的人只需要输入其他使用者的订单账号,就可以直接查询到这些人的酒店订单信息,包括客户姓名,手机号码,预定房间数,以及入住和离开时间等。报告对这个漏洞描述是:漏洞类型——未授权访问及权限绕过;危害等级——中;漏洞状态——厂商已经确认。
通过乌云披露的信息可以发现,这个漏洞早在今年6月15日就已经被发现,乌云方面当天就通知了春秋航空,并且在第二天得到春秋航空的确认。一个半月之后,乌云将这个漏洞的细节对外公布。乌云网创始人方小顿对《天下公司》说,一般来说,只要经过厂商确认的漏洞,都会被及时修复。
方小顿:它里面有一个像接口一样的东西,你通过这个接口去看到其他人,其实每个人有一个订单号嘛,改了订单号就可以看到别人了。信息应该是已经修复了的信息,六月份应该就已经修复了,现在是八月份了,应该我们过一个半月才会把这个细节开放的。
记者:那要是他们修复了会向你们反馈吗?
方小顿:我们默认他都会修复的,主要厂商在上面都会有一个确认的工作,一般都会修复的。
我们又联系了春秋航空新闻发言人张武安,他向我们确认,在得到乌云通知的当天,这个漏洞已经得到修复。
张武安:我问了下,的确是很早以前有这么个事,那边指出来,这边马上就修复了,没有出现什么问题,幸好发现得也早。
记者:客户有没有什么损失?
张武安:没有,没损失,而且别人没发现,因为乌云发现得比较早,当时就修复了。
手机APP的安全漏洞或许只能算件小事,因为春秋航空拒载艾滋病患者引起的争议,影响更加广泛。7月28日,有3名乘客在准备乘坐春秋航空的航班时,其中两人主动表明自己是艾滋病患者。随后,这3名乘客的登记信息被删除。春秋航空当时表示,根据公司规定,不能承运艾滋病患者。许多网友都质疑这是在歧视艾滋病患者。
不过,春秋航空的态度很快就做出了转变。8月1日,春秋航空通过官方微博宣布发表声明,宣布修改拒绝承运乘客的相关规则。春秋航空新闻发言人张武安说,他们已经删掉了有可能引起歧视艾滋病等歧义的内容。
张武安:为什么修改这个呢?因为最近有人反映我们拒载艾滋病人,说是歧视艾滋病人,我们其实从来没有歧视艾滋病人,我们其实也是比较关心比较理解艾滋病人这种特殊的群体的,所以在我们的微博上发了一个东西,说我们其实是关心、理解艾滋病的。我们原来的规章制度就在我们网站上,根据国家传染病的种类上面是有艾滋病的,我们后来把这个删掉了。避免有这种歧义、歧视给艾滋病人,我们把所有传染病的种类都删除了,因为航空公司没有这个实力去判断怎么样的病是传染病。就是因为在航空公司拒绝乘运的类别里其中有一类是传染病,我们原来引用了各种各样的传染病,现在把这些传染病字样都去掉了,只保留传染病。
《民用航空法》规定,传染病患者、精神病患者或健康状况可能危及自身或影响其他旅客安全的旅客,承运人不予承运。这是春秋航空之前制定相关规则的理据,但是,这条法规没有细化到传染病的病种,艾滋病患者是否能乘坐飞机,并没有有明文规定。
春秋航空把国家认定的所有传染病种类都列在公司规定中,因此才有了艾滋病人被拒绝登机的一幕。现在,这些内容又全部被删除了。这到底是福是祸?最近,西非国家的埃博拉疫情引起全世界关注,美国将两名感染了埃博拉病毒的医生运回国内治疗,在美国引起巨大争议。航空公司能否拒绝埃博拉病毒感染者登机呢?这个责任该由谁来负?张武安说,遇到这种情况,国家和国际的卫生组织都会发布通告。
张武安:像遇到这种问题,肯定是由世界卫生组织来发布通告,各国政府也会发布通告的,会有一系列的卫生组织,航空公司也不可能判断谁有什么病,所以对于艾滋病也是一视同仁的。
专家点评
财经评论员张翼表示,互联网是一个海量化和高度细分化大数据的产品,在这个产品的背后,不可避免的会有很多大的或者潜在的漏洞,对于这种漏洞,要分析和判断它到底是无心之过还是刻意为之。
张翼认为,像春秋航空这种APP漏洞的话,更多的时候可以定义为是一种无心之失或者无心之过。不过对于最近媒体报道的苹果手机是预留了后门的这种情况,这个后门是对美国的国安部门开放的,对于苹果留后门这种情况,就不是无心之过,而是一种刻意为之的情况。
张翼指出,在目前大数据和互联网的背景下,如何保障用户信息的安全性,还是要靠我们的监管,我们的法律。到目前为止,相关的法律规定还没有真正落地,如果有这样一个法律能够落地的话,就能够在一个基本的层面上保障我们用户个人的信息能够得到比较安全的保护,要不然的话,在互联网时代,大家都是在“裸奔”。
(责任编辑:缪杰娴)