明星航空里程被盗,背后是我们每一个人信息安全的无奈
旅客个人数据保护年年提,但遗憾的是,在利益交织与机制漏洞下,行业乱象依然令人无奈。
01
近期两起明星航空里程被盗事件
据南方都市报报道,9月6日晚,一位明星吴磊的粉丝晒出与航空公司工作人员的对话音频,爆料称吴磊的某位站姐,从2017年至2020年连续三年盗用吴磊国航及南航名下的里程积分,为自己和朋友们兑换免费机票,前后多达12次,总计约23万里程。
根据曝光者公布的录音,他冒充吴磊,向航空公司客服询问吴磊名下使用航空里程积分兑换机票的情况。客服称,受让人为盗用者S女士,她从2017年3月开始,就陆续利用吴磊的航空里程积分兑换机票,共计使用23万余里程积分。
之所以能盗用吴磊的航空里程积分兑换机票,曝光者称,系S女士擅自将吴磊的身份证号绑定在她用自己手机号注册的航空账号上。这样一来,S女士不仅能随意查看吴磊的行程,还可以随意添加受让人,擅自使用里程积分。至今为止,该位站姐已经在吴磊名下添加了三位受让人。
作为一名站姐,如果说只是出于对偶像的狂热追随,可能还能搏得部分的同情,但其行为更有损“职业道德”的是,所盗用的吴磊里程还用于追其他艺人的行程。
太久没赶上潮流了,这次才知道原来吴磊就是当年《琅琊榜》里的“飞流”
从2018年10月份开始,S女士开始将吴磊名下兑换的机票用于追其他艺人行程,包括10月6日从上海到虹桥饭拍范丞丞等。据该曝光者不完全统计,该站姐前后使用吴磊的里程兑换免费机票多达12次,总计约23万里程,直至2020年9月4日,这名站姐还在使用吴磊的权限兑换从北京到成都的头等舱机票。
目前,涉事航司已表示关注到该事件,并在处理当中,后续将进一步公布调查情况。
由于事件涉及明星,又有所谓粉丝文化的关注热度,这件典型的里程盗刷事件很快就在当日登上了微博热搜。
无独有偶,9月8日,江映蓉在微博晒出一张打码的身份信息截图及联系电话截图,透露自己的里程也被盗了。
其工作室发文表示:工作室拨打国航客服维权时,对方提出的解决办法,一是修改密码,二是报警。
除此之外,针对于这被盗用的26.5万里程是如何在没有江映蓉本人以及周边亲密接触人员确认下被盗取的事实,航空公司并没有给出合理的解释。在江映蓉没有收到任何的短信验证码,也不可能亲自添加的情况下,江女士的隐私信息被泄漏并致使他人施行侵权行为。
02
以里程积分为核心的航司常旅客计划
对于爱好飞行的“空中飞人”来说,航空里程早已不是什么新鲜话题。如何利用航司的各种会员等级福利?如何积累里程?如何兑换航线?这些与里程相关的研究和分析,甚至发展成了非常成熟的社区文化。
里程也在不断的发展变化中成为了航司提高旅客忠诚度,与常旅客互动的重要手段。(“温暖升级”不断,什么在改变航空公司的常旅客计划?)
航空里程模式最早起源于美国。它的产生与出现与美国上世纪79年代末放开民航市场管制,引入自由市场竞争的大环境有着极为重要的联系。
1979年德克萨斯国际航空(Texas International Airlines)率先创立了国际航空界第一个常旅客计划。随后的数年间,由于该计划具有高忠诚度和用户黏性的特点,此举得到了其他竞争对手的纷纷效仿,一时间,常旅客计划如雨后春笋般扩张开来。
根据麦肯锡报告推算,目前市面上还未进行兑换过的里程,全球总计超过30万亿。如果这些里程碑兑换成机票,其价值足够2017年全世界每位飞机出行的人再兑换一次短途单程机票。
从里程产生的途径来看,最容易想到的便是乘坐航班,以航程或所支付的机票费用(越来越多航司正倾向于采用计费模式)为基数积累里程。在累积到一定数额后即可兑换机票。
但实际发展中,随着里程计划的不断创新,尤其是银行或者信用卡机构与航空公司的合作加深,个人的信用卡消费或者直接现金购买,逐渐成为了里程产生的最重要途径。
根据美国航空的财报显示,近几年向信用卡机构出售里程甚至成为了除行李费外其收入的第二大来源。在近期受疫情打击的航空业,美国运通甚至加大了里程的购买力度,提前锁定了很多航司未来数年的份额。
由此可见,航空里程其实具有很强的有价物属性,虽然大部分航司不允许乘客间的里程交易,但其实每一家的航司里程,在业内都有其相对应的现金价值。
盗用他人航空里程,实质是一种侵犯他人财产权益的行为。与近年来频频出现的盗用网络游戏工具,盗用Q币等行为非常类似。
03
旅客里程积分被盗,早已不是新鲜事
从司法实践看,盗取个人里程积分,其实至少十年前就有相关的司法案例。
据《人民法院报》报道,2011年,被告人代某因盗窃他人航空里程积分,并将此出售获利,被成都市武侯区人民法院依法判处有期徒刑9个月,并处罚金1000元。
2013年10月山东省机场公安局接到山东航空公司报案,多名旅客购买山航机票后收到“退票或者改签”的短信提示,按短信提示操作后被诈骗数百万元。侦查中,公安机关发现国航、东航、南航等均存在相同情况,系全国性多地多发案件,此后历时一年半,辗转多地抓获犯罪嫌疑人22名。
根据该案的判决书,整个旅客信息盗用产业链如下:中航信职员高某某、南航职员孙某某和海航职员刘某甲利用工作便利,将自己所掌握的B系统账号提供给他人,分别获利20余万、4余万和1万余元,拿到账号的李某某、刘某甲、黄某某、施某某等人再将账号转卖获利150余万,其后又经两次加价,邓某以平均每条5-10元、总价27万元的价格购买到4.8万条乘客信息,并转手获利23万余元。最终,大量旅客收到诈骗信息,362位旅客向航空公司和警方反映情况,至少3人被骗。
尽管所有案犯分别被判犯提供侵入计算机信息系统的工具罪和非法获取公民个人信息罪,但最高处罚为有期徒刑三年、罚金8万元,且全部缓刑。
2013年,广州警方也曾破获一起通过网络非法购入他人的南航明珠会员账户信息,将里程兑换成免费机票后倒卖获利的案件。该团伙7人在不到一年的时间内,共非法登陆了1476个南航会员账户,兑换机票2820张,直接获利68.9万余元。
其实盗取里程的事情,不仅国内航司头疼,其实在美国也时有发生。2017年新罕布什尔州的一位离职员工,就在离职后盗用了前雇主两百万的达美航空里程。
总之,这些过往的教训说明,大家手中各家航司的里程不仅要忍受连年贬值的痛苦,信息被盗用的风险也着实不低。
04
该如何保护我们的里程和个人信息?
防止里程盗用,如果引起重视,从航司的角度来说其实还是有很多行之有效的办法。毕竟,弥补系统的漏洞所付出的代价和成本比人为机制漏洞还是小多了。
对于通过系统黑客手段盗用的行为,解决办法便是加强常旅客系统的网络和系统安全。
美联航就曾在2015年举办过一次安全漏洞百万里程奖励项目。面向社会,征集现有网络系统中的漏洞,根据搜集到的漏洞风险等级,向参与者提供5万、25万以及一百万三档的里程奖励。
对于像本次吴磊事件中,其实航司有很对技术手段都能够降低风险。常旅客个人信息手机号码的多重绑定(个人在航司只能有唯一的号码对接全部各项业务),定期要求修改密码,里程兑换提示,加强受益人奖励机票使用的管理和安全审核。这些都可以一定程度上避免或减小里程盗用事件出现的概率。
处理完善系统技术手段以外,加强航司的常旅客计划风控措施,尤其在当下大数据AI分析技术突飞猛进的当下,也可以大大减少此类事件的发生。
以国泰航空的亚洲万里通为例,除了受让人名单管理之外,坊间还有传闻其风控系统有受让人常旅客黑名单交叉比对的功能。如果受让人与旅客本人经常并不同时出行,有可能被系统判定为异常情况,出现冻结账号的情况。
目前国内众多航司,对于里程受让人的管理上,还有很多并不完善的地方。这也为里程盗用或里程交易提供了客观条件。
从个人的角度,没事多留意查询下自己的里程记录,发现异常及时跟航司沟通,也是个不错的“笨办法”。
05
旅客个人信息交易的巨大“灰产”
其实里程盗用仅仅是航空个人信息保护漏洞的冰山一角。
从发生的概率和产生的影响来看,远不如旅客行程信息、个人证件信息泄露所带来的隐私保护风险。而这方面,随着数据利用和挖掘技术的不断进步,在强大的数据分析功能下,更多的数据累积联网,更放大了个人隐私泄露所带来的问题和担忧。
在旅客信息漏洞上,所谓的追星热潮成为了一个非常特别的观察角度。明星的个人隐私都是如此,可想而知,我们每一次的行程、证件信息的安全又能好到哪去。惟一的区别就是,普通旅客的信息并不如明星具有变现的价值。
简单整理了近五年来的各类明星航空信息泄露事件。在我们不断呼吁注重个人数据保护的情况下,此类事件并未随着公众的关注而得到根本整治。利益交织下的行业乱象依然猖獗。
2017年7月,演员杨幂也曾发微博怒斥泄露个人隐私的行为,“有时候真的特别想知道,你们卖证件信息、航班信息、高铁信息能挣多少钱啊”。
2017年10月,演员刘涛发文斥责航班消息被泄露,并呼吁有关部门管理此事。从刘涛晒出的图片中可以看到,信息中包含她往返北京、上海、三亚三地的工作行程日期。
2019年2月,北京德云社文化传播有限公司官方微博发布声明称,其旗下多名艺人住址、行程等信息被泄露。北京市公安局网安总队立即成立专案组开展侦查。2月28日,专案组将犯罪嫌疑人郝某等3人抓获。经审查,3人对贩卖艺人信息牟利的犯罪事实供认不讳。
从粉丝的角度,买明显身份证号进而获得航班信息。粉丝便可以在机场查询系统直接搜到明星的乘坐的航班、起飞时间等信息,如果明星已经值机,还可以拿到他的座位号。这样不仅可以送机,还可以买与明星相邻的座位。
图片来源于网络
但这样的行为背后其实极大助长了贩卖个人信息以及航班信息的“黑产”,长此以往,其实我们每一个人都有可能成为这个巨大产业链中的受害者。
针对日益严峻的个人信息泄露形势,其实作为管理方的民航局也一直在行动,但从这两年来所报道的新闻事件来看,显然一纸公文并没有能够根本扼制住“黑产”的庞大市场需求。
2018年7月,民航局发布《关于加强粉丝接送机、跟机现象管理的通知》,其中明确严防民航人员泄露明星乘机信息。针对行程信息泄露,通知提出,民航单位要严防内部人员进行工作以外的信息查询,禁止利用职务之便泄露知名旅客乘机信息,须签订保密协议。
06
谁能接触到旅客的信息?又是如何被泄露的?
一般来看,民航客运领域能够掌握乘客姓名、手机号、身份证号和机票号、航班号、航班时间在内信息的单位,主要为以下几类:
提供机票的各家航空公司
提供航空意外险和延误险的保险公司
票务代理机构和平台
民航管理部门
除民航局外,以上途径至多只能掌握经手的交易数据,但具有“中国特色”的一家平台却是除春秋航空外的国内所有航空公司、机场和机票销售代理提供信息管理系统的终端,它便是中国民航信息网络股份有限公司(下简称“中航信”)。
这家前身是中国民航局计算机信息管理中心的央企,管理着中国民航所有的客货运数据、航班库存数据和离港控制系统。也是大家所熟悉的“航旅纵横”APP所属公司。今年5月,航旅纵横才刚刚完成了2.75亿元的新一轮融资。由此可见资本对于其业务的重视以及未来的雄心壮志。
当年沸沸扬扬的马蓉、宋哲事件中,两人航班信息被曝光时,和保单照片一起热传的还有一张据称是内部“黑屏系统”的照片,而这个“黑屏系统”,就和信息泄露事件紧密相关。
当年流传的标有马蓉和宋哲航班信息的系统“黑屏”
一般,航班信息泄露主要有四种途径:一是航空公司内部员工以一定价格把乘客的信息贩卖出去;二是与航空公司合作的第三方订票平台内部员工把数据卖给了不法分子;三是代理人通过航空公司外放的系统调取乘客信息;四则是机票代理监守自盗把自己客户的数据贩卖出去。
理论上,所有以上能够接触到个人信息的单位都可能成为信息泄露的漏洞。整个中航信的系统接口众多、使用人数众多。各航空公司、各代理人、以及民航管理部门和中航信内部工作人员,能在系统内进行操作的权限不同,通常只能接触到自己所属权责内的信息,不过部分岗位可以接触到更大范围的信息。
另一方面,每一次规范操作均会被系统记录,但如果使用外挂等违规软件或采取黑客手段入侵系统,就不一定能留下痕迹。这也是旅客信息泄露后难以追溯的原因之一。
一点思考
不管是里程盗用还是明星行程泄露,明星个别事件的背后其实是整个行业旅客信息保护现状的残酷现实。
这些漏洞不仅会给明星的个人生活带来困扰,数据的恶意使用,还可能造成其他更为严重的社会影响。
去年,香港国泰航空公司的员工就出现过私自在网络上泄露香港警队人员的航班行程信息,妄图让他人去骚扰警方。当时,一名疑似国泰航空员工的人员在一个聊天组群中贴出了两张标记为“HK POLICE FOOTBALL”(香港警察足球队)的人员航班行程信息,并辱骂警察为“黑警”。在此人的煽动下,其他人则威胁要去给警察“接机” 或制造其他麻烦。
前车之鉴,此类社会事件难道还不足以引起对旅客信息保护的重视?
与其他交通方式相比,民航运输由于安全和出入境管理需要,一般而论对旅客个人信息的搜集都比较具体。保护这些数据安全,其实也是整个行业更大的责任。所谓的鼓吹中国人更愿意用隐私来换取效率与便利的言论,其实是商业资本对数据的渴求背后的人性之恶。
今天所提到的内容,往大了说更是我们每个人对隐私权的态度。
就在写这篇文章时,9月8日国务委员兼外长王毅在全球数字治理研究讨论会表示,为应对新问题新挑战,中国愿发起《全球数据安全倡议》,欢迎各方积极参与。
我想说的是,在为加强全球数字治理贡献中国智慧的同时,作为一位普通的公民,也热切盼望我们自己也能进一步重视国内个人数据安全保护。作为倡议者,也应该为世界人民起个表率作用吧。
毕竟,无隐私则无自由。
推荐阅读