当途牛用户隐私信息被泄漏后,一种“中大奖”般的真相浮出水面
2016-07-05 18:58

当途牛用户隐私信息被泄漏后,一种“中大奖”般的真相浮出水面

俗话说得好,“别人把你卖了,你还帮别人数钱。”这事就发生在了我身上,切身体会到在互联网上,隐私被泄漏后的无奈。

 

本文是我作为一名途牛用户,隐私被其泄漏后,进行艰难维权的真实写照:

 

6月29日早上,我在途牛上购买了一张7月1日由杭州飞往桂林的机票。当天,我在杭州萧山机场等候延误飞行的这趟航班时,接到一个广东的陌生电话,对方很不礼貌,一上来就质问我:“你是XXX吧,你为什么用我途牛账号买机票……”我打断反问他姓名及电话事由时,他毫不搭理我。

 

我无法与一个很不礼貌、不尊重别人的陌生人交谈,挂掉了对方电话,而后这位陌生人又反复播过来,我拒接后,他发出一条短信过来(如图)

 


恰巧头一天,我同事与我分享了自己iPhone 6s 丢失后,收到钓鱼短信导致她原手机icloud账号被盗窃。再加上此前,盛行“我是你老板,明天XXX来我办公室。”之类的诈骗电话。我对接到的这个陌生电话心有余悸。

 

一来,我怀疑对方是进行诈骗的动机;二来,我坚信个人隐私信息已经泄漏,连航班信息都被陌生人了如指掌,这是多么恐怖的事!

 

所以,我要一个真相,向途牛进行了个人隐私维权。

 

要知道,途牛的客服电话打进去,不是一两下就会被接的,但此前我不少于两次接到途牛打来的销售电话。几次拨通后,我把上述信息泄漏事情告知客服后,一翻探讨,对方给出的答复大致是:陌生人是诈骗电话,让我不要理他,途牛是绝对不会把用户隐私信息泄漏。

 

看到这位客服不能满足我彻查隐私泄漏的要求,无奈之下,我将陌生人短信截图微信给途牛公关部同学,并表态只想以一个途牛用户的身份要隐私泄漏的真相。途牛公关部同学表示很重视,要进行彻查。

 

这件事安排给了途牛客户“专属客服”,因为是周末,我也就没打扰途牛公关部的那位同学,一直与途牛客服沟通此事,大概是周六(7月2日)下午,途牛方面电话告知我,因为系统Bug导致我与“陌生人”信息窜了。并一再强调这是小概率事情,“第一例”。

 

再想到这是我本人第一次在途牛上购买机票(不排除以前出差由别人安排途牛购票),两个“第一”凑到一块,按照他们“小概率”的解释,莫名有一种“中大奖”的赶脚。

 

对于含糊的解释,我不想不了了之,希望途牛能给出书面版“真相”,而在给出之前,我也从未在社交媒体上公开此事,就是以坦诚的态度进行维权,并给对方解释的权利。当然,和多数情况一样,途牛方面找到我私下和解,并提出经济赔偿,但我没有接受,事关用户隐私安全,真相更重要!

 

但说实话,就这么一份简简单单的书面回应,途牛客服部与公关部相互“退让”(期间我与途牛客服电话了不下15次),所以直到今天中午(7月5日)才拿到,内容如下(标题用“关于李先生隐私信息安全问题的回复)更贴切:

 

关于李先生机票问题的回复

 

尊敬的李先生:

 

您好!

 

对于您在机票预订过程中出现的问题和不良体验,我们诚挚道歉。

 

接到您的电话反馈后,我公司票务服务部及时安排了负责人向您了解具体情况,并在内部核实和进行问题定位:

 

1、6月29日8:18,您通过尾号为2879的手机号码预订了7月1日17:35杭州出发去往桂林的机票;

2、7月1日18:26:26,您通过尾号为2879的手机号码呼入,我公司客服接单页面显示了您的订单信息,18:26:28电话显示挂断(未接通)。因当时客服正值预订接单高峰期,在您电话挂断的同时,后序列手机尾号为6018的客人18:26:28来电接通,因客服接单页面延缓未能及时跳转至新客户信息页面,客服在未认真核对客户的情况下,造成将您的部分信息与该客人电话沟通核实的失误;

3、7月1日18:38,尾号为6018的客人在此误会下联系您,给您带来不便和困扰;

4、7月1日18:57,我公司客服接到您关于怀疑信息被泄露的来电投诉。

 

再次对本次服务给您带来的不良体验和困扰深表歉意,并将就相关后续事宜与您保持积极的沟通,努力提升您的服务体验。

 

本次因前序列电话未接通挂断、后序列电话同时被分配至同一客服、客服接单系统繁忙、接单页加载弹屏缓慢、客服没有注意到不同的手机号等多个因素同时发生而产生的极小概率问题,目前已安排技术部门进行排查和优化,改进和完善系统,以确保您和其他用户后续预订将不会再出现以上临界点的页面延缓问题;针对客服的不细致的问题,我们已在排查清楚原因后,对相关客服团队进行了再培训,要求客服必须对客户信息进行复核,避免再次发生类似问题而导致客户产生误会,影响客户体验。

 

尊敬的李先生,我们非常感谢您对途牛一直以来的关注和信任,并选择途牛预订出行。对于我们服务中出现的问题我们向您承诺将积极改进,持续提升服务质量。对服务过程中尚不到位的环节,我们将承担责任,不断完善。

                                                            

                                                                                                                 途牛旅游网

                                                                                                                   2016年7月

 

结果证明,我,这名途牛用户的隐私信息的确被泄漏!

 

在途牛官网“隐私保护”条款中明确提出本网站将对您所提供的资料进行严格的管理及保护,本网站将使用相应的技术,防止您的个人资料丢失、被盗用或遭窜改。

 

途牛泄漏用户信息也并非仅我一例。

 

据腾讯科技报道,2015年11月26日,途牛网因两处服务器配置不当,存在未授权访问,致泄露数10G源码和数据。

 

我也查寻了乌云发的报告,统计了途牛隐私漏洞的发生情况(如图)

   

                                          

其监测数据显示,途牛“用户数据直接泄漏”、“未授权访问/权限绕过”与“账户体系控制不严”的漏洞占比分别为2%、3%、7%。


更有网友“路人甲”实战复盘《我是如何未授权登陆他人途牛账号的》,部分原文如下(绝对的技术活)


抓包修改如下包的响应包


1.png


修改如下


2.png


你猜的没错,这个uid是


未命名.png


成功登录

未命名.png


好了,我分享完自己隐私被途牛泄漏的案例,希望引起你对自己隐私安全的重视,希望途牛不要避重就轻,真正重视用户隐私安全问题,而不是一句简简单单的口头承诺。

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定