愈發(fā)猖狂

近日，國泰航空的一紙聲明，將航空里程安全問題再次推向公眾視野：

• 約1000名會員賬戶遭非法入侵，“亞洲萬里通”里數(shù)被盜，黑客利用雙重驗證漏洞和互聯(lián)網(wǎng)泄露的賬戶憑證得手。

圖源：國泰航空官網(wǎng)

對國泰來說，這也不是第一次發(fā)生。據(jù)Yahoo報道，2023年底也有類似情況。

這并非孤例，從普通網(wǎng)友發(fā)現(xiàn)國泰里程被陌生人兌換機(jī)票，到明星吳磊23萬里程被粉絲盜用，航空積分正成為網(wǎng)絡(luò)黑產(chǎn)的“香餑餑”，而背后是一套橫跨制度漏洞、信息安全與灰色產(chǎn)業(yè)鏈的復(fù)雜棋局。

01

國內(nèi)航司的“受讓人”制度本是為了規(guī)范里程使用，卻意外成為黑客的突破口。

這套制度要求給他人兌票時必須提前添加受讓人，不同航司的生效時間由即時到60天不等：

• 比如，國航鳳凰知音普通會員添加受讓人需30天生效，

• 南航明珠首次添加要15天，

• 國泰亞洲萬里通則是立即生效。

這個看似便捷的設(shè)定，恰恰讓黑客有機(jī)可乘。

2020年，明星吳磊里程被盜案中，粉絲正是利用南航受讓人制度的時間差，先盜用身份信息添加自己為受讓人，等待15天生效期后瘋狂兌票。

實際上，受讓人名單的增加也需要“門檻”。

比如，在南航微信小程序中操作建立受讓人名單時，首先要登錄會員賬號，隨后通過人臉識別或銀聯(lián)認(rèn)證等方式完成實名認(rèn)證，只有認(rèn)證通過，才能進(jìn)行受讓人信息的新增，填寫對方的姓名及證件號碼。

這樣的流程設(shè)計雖然增加了操作步驟，但通過多重身份驗證能有效保障會員賬戶及積分使用的安全性，減少信息冒用或誤操作帶來的風(fēng)險，從用戶權(quán)益保護(hù)角度來看是較為合理的。

但為何明星航司里程被盜的事件，卻依舊層次不窮？

02

回到前文提到的國泰事件。

國泰此次承認(rèn)“不法分子部分利用了互聯(lián)網(wǎng)上外泄的有效會員賬戶憑證”，這揭開了航司信息安全的雙重隱患：

• 底層是系統(tǒng)漏洞，如國泰的雙重驗證缺陷、

• 表層則是用戶習(xí)慣薄弱，大量會員仍在使用生日、手機(jī)號等弱密碼。

明星群體成為重災(zāi)區(qū)并非偶然。

江映蓉26.5萬里程被盜時，陌生人能精準(zhǔn)添加受讓人；李晨的里程卡從2018年起被十余人”共享，這些案例指向明星隱私的批量泄露。

黑產(chǎn)市場上，幾十元就能買到明星身份證號、常旅客卡號等信息，甚至有“包年服務(wù)”實時更新行程。

更隱蔽的風(fēng)險，來自代理人環(huán)節(jié)。

有航空從業(yè)者透露，部分代理會利用職務(wù)之便獲取乘客信息：“抓到過用特價票幌子套取會員賬號的，被發(fā)現(xiàn)就立刻換票，手法很熟練。”

這些“內(nèi)鬼外鬼”的配合，讓里程盜竊形成完整產(chǎn)業(yè)鏈。

03

“這就是某些代理所謂特價票的來源”，一位航空從業(yè)者的爆料直指行業(yè)潛規(guī)則。

某些代理通過批量盜取里程，兌換機(jī)票后低價出售，被航司查獲就“迅速換一張票”，消費者往往直到登機(jī)時才發(fā)現(xiàn)票被凍結(jié)，維權(quán)無門。

這種灰色操作的根源在于里程的“現(xiàn)金屬性”，1萬里程價值約500-700 元，相當(dāng)于一張短途機(jī)票的價格。

就有二手平臺公然叫賣航司“里程兌換服務(wù)”，價格幾百元左右，交易很是火熱。

從國泰的技術(shù)漏洞到國內(nèi)航司的制度博弈，從明星隱私泄露到代理人的暗箱操作，航空里程安全問題早已超越單一企業(yè)的范疇。

當(dāng)積分成為“數(shù)字現(xiàn)金”，航司或許該重新審視：是時候用更高的安全標(biāo)準(zhǔn)來守護(hù)這些“空中財富“。

畢竟，沒人希望自己辛苦積攢的飛行里程，最終變成黑客和黑產(chǎn)的“提款機(jī)”。