中新经纬客户端10月3日电 (常涛)国庆、中秋双节假期,不少人选择飞机出行,中新经纬客户端提醒您,当心航空里程安全!
进入9月,多位明星艺人反映自己的航空里程被盗刷,引发广泛关注。事实上,不止明星中招,普通人也会遭遇里程被盗用。中新经纬记者调查发现,目前航空里程买卖已成产业链,个人出售里程甚至需提供账号、密码。系列乱象背后,用户个人信息安全遭到挑战,航司也负有不可回避的责任。
资料图 中新经纬常涛摄
不止明星!普通人也遭遇里程盗用
一般情况下,在航空公司注册成会员后,每次购买机票出行时可以累积一笔里程,里程的数额根据舱位和会员卡的等级有所不同。用这些里程可以兑换一些礼品,最受欢迎的就是里程兑换机票。
9月份,明星艺人吴磊、江映蓉、李晨航班里程被他人盗用事件引发广泛关注。上述艺人反映,自己的航空里程积分被陌生人盗用,盗用者用这些里程积分兑换机票,为自己和朋友提供乘机便利。除了里程被盗用,近日演员张萌在微博反映,自己在不知情的情况下被注册了航空公司的会员卡。
张萌直呼,这是比盗用里程更可怕的事情,“航空公司的网络审查这么不严吗?私人的身份证信息怎么会落到陌生人手中?”
据中新经纬记者了解,航空里程被盗刷或盗用不仅发生在飞行次数较多的明星艺人身上,一些普通乘客也遭遇过到过类似情形。
资料图 中新经纬 常涛摄
某航空公司会员小茹向中新经纬记者表示,她最近发现自己的航空里程被盗用了。“9月初,我用航空公司App选座时意外发现自己5.5万里程被人在商城兑换了超市购物券、加油卡等物品。而且整个过程,我没有收到任何提示。”小茹说,“后来我发现原来App绑定的手机号被修改了,我推测应该是账号和密码泄露了,别人用账号和密码登录了App,账号就是我的身份证号。”
小茹表示,5.5万里程是分数次被盗用的,而在此之前,她只接收到一条提示。别人在App修改手机号时,航空公司曾给她发送了一封邮件,提示个人信息被修改。但这封邮件被归到了广告类,小茹并没有及时看到这条提示。“我认为航空公司系统存在严重的安全隐患,比如修改绑定的手机号居然不给原手机号发送验证码,登录App也没有提示,积分商城兑换简单,没有二次验证。”而截至目前,航空公司仍没有给她一个合理的说法。
一位资深的网络安全专家对中新经纬记者表示,无论是明星,还是普通乘客,里程被盗刷、盗用大都是通过App完成,而完成这一系列操作,并不需要借用多么高难度的技术,就是个人信息被泄露了。“盗用者获取了乘客的会员账号、密码信息,比如身份证号或者手机号,登录后完成了这些兑换操作。”上述网络安全专家说。
对于被盗用的航空里程,北京市京师律师事务所律师孟博对中新经纬客户端表示,虽然里程积分不是通常意义上的财物,但它也是一种财产性权益。侵犯他人财产性权益,根据具体案情,应分别承担民事责任、行政责任乃至刑事责任。
孟博表示,按照《中华人民共和国刑法》第二百六十四条规定,盗窃公私财物,数额较大的,或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃的,构成盗窃罪。以非法占有为目的,采用冒用他人名义的方式,窃取他人的航空里程积分,如果数额较大,其行为涉嫌构成盗窃罪。
卖里程需提供个人账号密码
中新经纬记者调查发现,目前航空里程买卖已成产业链。在二手交易平台上,有大量卖家提供里程兑换机票服务或直接出售里程积分,覆盖了大部分航空公司,南航、深航、东航、国航等最为普遍,价格为每1万里程400元-500元不等。
一位卖家表示,各大航空公司在用户使用里程兑换机票时需要绑定受益人,如果没有这个步骤,则除会员本人外的其他人不可享受里程积分兑换机票。而绑定受益人需要一个生效过程,这个生效过程一般从半个月到一个月不等,例如东航的生效时间为15天,南航的生效时间为30天。所以如果乘客想购买距离出发日期比较近的机票,时间上会来不及。
中新经纬记者操作发现,东航绑定受益人需要姓名、身份证号码、出生日期、性别、关系的信息,每个会员可以设置10个受益人,但受益人可以删减。在绑定受益人的过程中,东航并不需要会员进行多余的身份认证即可完成。
对于手中的里程从何而来,上述卖家表示不方面透露。
资料图 中新经纬 张燕征摄
中新经纬记者注意到,除了有人出售里程,还要人专门收里程。董鑫(化名)专门收东航里程,且“从事这项业务已经多年了”。
“300元1万里程,三天返款,可走闲鱼。”当中新经纬记者询问如何交易里程时,董鑫表示,需要提供出售人东航App登录账号、密码以及交易密码。当被问及是会泄露个人信息时,他表示并不会有什么安全风险,“里程消完之后你再修改密码就行了。”
董鑫还表示,他收上来这些里程主要是卖给一些差旅需求比较大的公司。“有些人手里有里程,没有出行需求,暂时用不上,就可以把这些里程卖给需要的人去换机票。”
上述安全专家对此表示,把这些重要的个人信息交给别人,虽然可以修改密码,但仍后患无穷。“别人成功登录你的账号,就等于这个账号下所有你的个人信息都暴露了,比如兑换商城里可能有一些交易记录,包含收货地址、手机号等信息,个人信息泄露风险极大,不建议用户出售个人里程。”
专家:个人信息未能得到保护 航司责任不可回避
孟博表示,司法实践中,已经有被告人因盗用他人航空里程积分,并将此出售获利,被人民法院依法判处有期徒刑,并处罚金。
公开资料显示,2011年,成都破获了首起“里程盗窃案”。据媒体报道,一家航空公司代售点员工利用职务之便和系统漏洞,在两个月间盗取了21名乘客的个人信息,转卖了100余万公里里程,获利5万余元,最终因涉嫌盗窃罪被起诉。