6月11日晚间,民航服务软件“航旅纵横”被曝涉嫌泄露用户个人信息,原因来自其最新上线的“选座社交”功能。

据悉,“航旅纵横”是中国民航信息网络股份有限公司推出的一款基于出行的移动服务产品,旅客需要通过注册和实名认证后,才可以通过APP查询航班动态、航站楼、目的地天气等信息,并完成选座、值机等一系列流程。用户还可以在常客计划中添加国航、东航、海航等国内多个主流航空公司,实时获取个人近期行程的航班信息。

昨天,有网友向指数君透露,打开航旅纵横选座页面时,点击座位图标即能查看选择该座位的乘客个人主页,乘客姓名、住址、甚至偏爱舱位、常用飞行目的地、飞行记录等个人信息、隐私都分分钟被“一览无余”。“我的姓名、头像、身份等资料都是实名的,也就是说,在我并不知情时,自己的所有信息已经暴露在的陌生人面前。”该网友表示,“细思恐极”。

选座时可查看其他陌生旅客信息

对此,南都记者亲身体验了一把自己的信息是如何被陌生人查看的。

然后可以进入如下页面:

航旅纵横身份认证怎么取消(实测航旅纵横隐私漏洞)(1)

「隔壁36K乘客的飞行热力图。」

南都记者选择的座位是36H,同时可以看到隔壁座位36K的一名乘客信息,包括其姓名、头像和飞行热力图等等,甚至可以看到其简介为“公务员”。

「隔壁36K乘客的飞行热力图。」

对于上述情况,航旅纵横在回应指数君质疑时表示,这是最近研发的一种基于社交的虚拟客舱功能,用户可以从选座入口进入开启一键群聊模式,甚至还可以进入旅客的个人页面与其进行私聊,用户展示的不是个人的真实身份信息,均为头像、昵称、标签等可编辑的信息,账户的昵称默认为“游客”,并非真实姓名,同时用户可根据自己的意愿自行选择开启或者关闭,点击头像右上角即可进行设置。目前,该功能正在前期测试阶段。

但根据南都记者实测中发现,如果用户的姓名、头像、身份等资料都是实名的,并且在没有得到提示和通知的情况下进行编辑修改,那么展示出来的信息也是实名的。

事先未通知提醒实名用户“裸奔”

不仅如此,指数君实测体验后发现,想要编辑、更改自己的信息不显示或让不被陌生人看见,还需要费一番功夫。

首先,用户需要进入APP主页右下角的“个人中心”,从“游客”进入个人主页,并点击右上角编辑符号进入编辑资料页面。

航旅纵横身份认证怎么取消(实测航旅纵横隐私漏洞)(2)

航旅纵横身份认证怎么取消(实测航旅纵横隐私漏洞)(3)

可以看到最下面两行 “允许他人查看我的个人主页”和“允许他人与我进行私聊(图1是还未编辑修改的状态),然后将其关闭(图2所示)。

然后,网页会一直显示提醒“您已进行隐私设置,他人无法向您发送私信。”

航旅纵横身份认证怎么取消(实测航旅纵横隐私漏洞)(4)

不过,值得注意的是,上述这两个选项,在事先未得到用户授权的情况下,均属于默认打开状态。这也是目前网友集中吐槽的地方。

也有网友建议,采取卸载APP的方式避免个人信息被查看。但指数君了解到,卸载并不等于注销账号。事实上,用户在最初注册时,需要“姓名 身份证 支付宝账号”的实名认证,才能通过中信航与民航系统连通,使用一系列航空服务功能。而注销账号,则需要通过“个人中心——账户信息——注销账号”完成。航旅纵横方面对南都记者表示,用户注销账号以后,其他旅客便不能通过“查看座位信息”查看到该注销乘客的个人资料。

航旅纵横身份认证怎么取消(实测航旅纵横隐私漏洞)(5)

「用户最初注册时已经“姓名 身份证 支付宝账号”实名认证。」

多家航空公司叫停第三方选座服务

据公开资料显示,航旅纵横所属公司中航信作为中国民航的唯一数据服务公司,公司目前所拥有的数据用户终端数约32000台,国内的服务网络已覆盖各主要城市以及港澳地区,网络接入服务延伸到约300个城市,并通过SITA连接到全球50余个城市,向中国大陆所有航空公司、120余家机场和5000余家旅行社、宾馆等代理机构,提供实时数据传输和交换服务。

此前,已有航空公司注意到了风险。南都记者搜索发现,4月18日,南航就曾发布过关于规范网络选座、值机业务的通告,理由是“非正常方式擅自为南航旅客办理选座、值机业务,严重扰乱了南航航班运行秩序,已经造成了一定的航空安全风险、信息安全风险和服务风险”,该通告同时提醒:非授权网络平台缺乏有效信息安全监管,可能非法截存旅客身份数据、账号数据和行程数据等信息,并由此产生旅客个人隐私泄漏和会员账户被盗用的风险。

南都记者了解到,目前南航在航旅纵横、飞常准等第三方值机软件已无法值机。而国航、东航、海航等此前也发表类似声明,称正在清理未授权的第三方软件进行值机、选座等服务。

工具类APP试水社交功能暗藏风险

工具类APP因涉足社交领域遭遇“尴尬”,这已不是第一次发生。此前,支付宝就曾在改版时先后推出“白领日记”、“校园日记”等“圈子”功能,因内容敏感,被指侵犯肖像、隐私权而下线。

某公交WIFI也曾经推出“同路人”,通过添加公交线路形成陌生人社交,形成的圈子评论区内却充满“水军”的言论和微商广告;而前不久空姐乘坐滴滴顺风车遇害事件,进一步暴露出工具类软件涉水社交背后暗藏的风险。

今年1月,腾讯社会研究中心联合DCCI互联网数据中心发布的《2017年度网络隐私安全及网络欺诈行为分析报告》, 该分析对1129款手机APP获取手机用户隐私权限情况进行了统计,结果显示,96.6%的Android应用能够获取用户手机隐私权,在iOS应用中同样高达69.3%,而25.3%的android应用存在越界获取用户手机隐私权限的情况,包括获取位置信息、读取手机号、读取短信、通话记录、打开摄像头、使用话筒录音、打开WiFi开关、打开蓝牙开关、获取设备信息等,手机APP越界获取用户的个人信息,已经成为网络诈骗的主要源头。而为了在短期时间内低成本打通数据壁垒,部分软件更是在未得到用户授权的情况下,将获取的身份信息暴露在公共网络空间中,为信息泄露埋下隐患。

对此,DCCI互联网研究院院长刘兴亮对南都记者表示,工具类APP涉足社交领域无可厚非,但是至少在个人信息的公开处理上应该设置为默认关闭,给予用户主动选择公开与否的透明权利,才能在用户的信息保护上更加合法合理。

事实上,自去年6月1日起实行的《中华人民共和国网络安全法》第四十一条就已经明确规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。此外,刘兴亮提到,在工具类手机软件不断迭代的当下,获取用户信息的方式也正变得更为多样化,用户的信息保护意识仍然亟待加强。

,