调查:航空里程盗刷背后的交易“黑幕”
9月9日下午,演员李晨发布微博称,自己的里程卡从2018年开始就被盗刷大量积分,并兑换了很多机票。
类似事件并非个例。一天前,歌手江映蓉在其个人微博中称,自己的航空里程被盗了,且被盗里程总数接近30万。9月6日,一位微博用户也曾发文称,演员吴磊的航空里程积分被盗用,时间从2017年一直延续到今年9月4日,被盗取的里程总数高达20万。
《国际金融报》记者从江映蓉工作室方面获悉,经过排查,盗用人并非江映蓉及其工作室所认识的人,且江映蓉方也没有从航司处收到短信认证或受让人绑定成功的相关消息。江映蓉工作室相关工作人员表示,目前已经报警,将此事交给警方处理。
演艺圈人士作为拥有广泛关注度和粉丝群体的公众人物,发生航班里程被盗事件很快在网上引发热烈讨论。而事实上,早在几年前,“里程盗窃案”就已频发,还曾被诉至法庭。
《国际金融报》记者调查发现,明星群体里程被盗刷背后,里程“黑市”交易其实一直在暗处滋生着。
1
明星航班里程被盗刷
9月6日,一位拥有超过10万粉丝的微博用户在演员吴磊的微博超话中发文称,有人长期盗用吴磊的航班里程供自己及朋友们乘坐飞机,侵害了吴磊的利益。涉及到的航空公司为南航和国航。
根据南航官网规定,每位南航明珠会员可最多设置8名“奖励机票兑换受让人”,明珠会员兑换奖励机票或奖励升舱,除本人使用,仅可转让给会员指定的已生效的兑换受让人使用。国航官网也显示,每位会员可添加8位受让人。
该网友表示,盗用者是在早期擅自将吴磊证件绑定到自己的手机号下,因此盗用者可随意登陆账户查看吴磊行程,随意增添受让人,以及擅自使用里程。被盗用的里程总数超过20万,时间跨度从2017年至2019年。
针对这一事件,《国际金融报》记者向吴磊工作室方面发去邮件进行求证并寻求采访,但截至发稿前未收到对方回复。此外,吴磊工作室方面也暂未对此事发声。不过,记者发现,上述爆料网友发布的微博和视频已经暂时无法查看。
在吴磊航班里程被盗刷事件曝光后不久,另一明星主动对外公布称,自己的航班里程被盗用。9月8日,歌手江映蓉发微博称自己的里程被盗,并质问中国国际航空:“这是怎么回事?”
对此,《国际金融报》记者于当日联系上江映蓉工作室相关工作人员陈明(化名),对方向记者表示,工作室在关注到其他艺人朋友出现里程被盗事件后,进行了自查,结果发现一共被盗用了26.5万里程,大约12次航班,且每一次兑换的都是公务舱。
根据江映蓉贴出的图片,其账户于2019年7月添加了两位受让人。陈明告诉《国际金融报》记者,“在发现被盗用之后,我们先是在内部进行一一排查,发现并不是我们认识的人。”对于在江映蓉没有收到任何短信验证码,也不可能亲自添加的情况下,江映蓉的隐私信息被泄漏并致使他人施行侵权行为一事,陈明表示非常气愤。
发现里程积分被盗用后,江映蓉方面也第一时间找到了航空公司。据江映蓉工作室称,工作室拨打国航客服维权时,对方提出的解决办法,一是修改密码,二是报警。除此之外,针对于这被盗用的26.5万里程是如何在没有江映蓉本人以及周边亲密接触人员确认下被盗取的事实,航空公司并没有给出合理的解释。
《国际金融报》记者获悉,目前江映蓉方已经报警。陈明直言:“我们也希望在这一次维权的同时,也可以号召更多的人自查一下自己的信息是否存在被泄露的可能,自己的权益是不是受到损害,也希望一些服务部门能够保护好大家的信息。”
此事发生后,国航官方微博账号在江映蓉微博下表示已经关注此事,并会将问题反馈给相关部门尽快解决。
9月9日下午,演员李晨也发布微博称,这两天看新闻有朋友的飞行里程卡被盗刷,出于好奇自己查了一下,结果也中招了。
针对明星里程被盗和航司如何防护自己会员账户安全等问题,《国际金融报》记者分别联系了国航和南航,但截至发稿前,国航和南航均未给出正式回复。
但记者从国航客服人员处了解到,盗刷里程一般发生在盗刷者获取了航空公司会员信息之后,如账号、密码等信息,这样才能登录会员账户。如果别人拿不到这些会员信息,是无法盗刷的。
针对航司会员账户被盗的情况,该客服人员表示,航司的系统也在相应地一步步更新,也在一步步地完善系统信息,比如要求会员证件号、手机、名字等都要一一对应,一个手机号只能绑一个会员账户,不能绑多个;在会员使用里程时,发送验证码到手机号码上,里程积分消费后也会有短信通知。
2
背后的里程交易“黑产”
从目前的公开信息看,吴磊和江映蓉的航空里程积分主要是被一人主导盗用,所添加受益人最多也不过三位,所盗积分以自用为主,但还有一部分被盗里程或是被很多毫不相干的人共享了。
《国际金融报》记者发现,很多用户的航空里程积分被做成了一项专门的里程买卖“生意”,且形成了一条“黑产”。
一般消费者主要有两条购买机票的渠道,一条是找航空公司直营渠道购买,如航空公司官方APP、官网、微信公众号等;另一条便是通过正规OTA渠道,如携程、去哪儿网、飞猪等。但在部分二手交易平台,已经暗暗滋生出了一条新的购买特价机票渠道。
《国际金融报》记者在闲鱼搜索“机票”发现,搜索结果显示为“小闲鱼没有找到您想要的宝贝”。但是如果搜索关键词变为“里程购票”,就会打开一片“新天地”。据记者调查,在闲鱼平台,购买特价机票也分不同种类,其中购买国内机票的主要优惠渠道也有两条,一是在各大OTA平台的价格基础上再打个折扣出售,折扣从7折到9折不等;另一条则是购买里程积分兑换机票,几乎涵盖大部分航空公司,“重灾区”为南航、深航、东航、国航等,价格为每1万里里程400元-500元不等。
当记者向多位卖家询问如何购买里程时,一般卖家会询问行程,如果出发时间较近,卖家会提示时间上来不及,原因在于大多航司会员绑定受益人需要一个生效过程,这个生效过程一般从半个月到一个月不等,例如东航的生效时间为15天,南航的生效时间为30天。
记者了解到,各大航空公司在用户使用里程兑换机票时需要绑定受益人,如果没有这个步骤,则除会员本人外的其他人不可享受里程积分兑换机票。
例如,东航绑定受益人需要姓名、身份证号码、出生日期、性别、关系的信息,每个会员可以设置10个受益人,但受益人可以删减。在绑定受益人的过程中,记者发现东航并不需要会员进行多余的身份认证即可完成。在沟通购买信息的过程中,记者还发现,卖家都会有意引导买家加微信,以形成一种长期稳定的购买关系。
记者从其中一位卖家处了解到,其已经从事里程买卖“生意”多年,在闲鱼平台也有多个账号同时在出售。他告诉记者,他手里有很多各大航空公司的会员账户,每个账户里程用完后,就会使用新的会员账户继续售卖积分。
不过,该卖家持续获取到的航空公司会员账户来路并不明晰。
航空透视创始人熊维向《国际金融报》记者透露,盗取里程积分就像游戏“盗号”一样,只要有用户个人信息,破解密码,绑定其他的手机号码,就能使用。此外,也有可能是在用户本人没有在意的情况下被人注册了航司会员,再通过获取到相应机票信息补登里程积分。
国航客服人员告诉记者,站在会员自身的层面来说,需要保护好自己的个人信息不泄露,及时登录会员账户完善好自己的信息,建议定期重置自己的会员密码,联系方式发生变更及时通知航司。其还补充道,盗刷事件发生的原因可能是多样的,有的可能是境外注册的会员,这种注册方式比较复杂。
“现在个人信息泛滥,里程兑换又主要通过手机绑定,很好利用;在个人里程积分被盗用后,个人维权成本又太高,一般人嫌麻烦就放弃维权了。”熊维表示,这同时也折射出了航司内部系统监管的漏洞,但对于消费者来说,现在能采取的措施就是航司会员账户里程别留太多,尽量尽早使用,并且里程也一直都在贬值。
3
盗用他人里程或将获刑
事实上,航司会员里程被盗并非新鲜事,而是已经延续多年。
公开资料显示,2011年,成都破获了首起“里程盗窃案”。据媒体报道,一家航空公司代售点员工利用职务之便和系统漏洞,在两个月间盗取了21名乘客的个人信息,转卖了100余万公里里程,获利5万余元,最终因涉嫌盗窃罪被起诉。
据广州日报2011年报道,两名男子将别人南航明珠会员卡内的28万航空里程积分售卖,其中一名男子将从另一名男子处获得的来路不明的南航会员账户中的里程积分在淘宝上挂出销售,并最终换为四张广州至迪拜的机票。最终,这两人被分别判处有期徒刑两年和一年半。
北京市康达律师事务所律师韩骁在接受《国际金融报》记者采访时表示,盗用他人航空里程积分用以兑换机票,对于他人财产性权益有非法占有行为,可以认定为属于盗窃罪,最终认定为犯盗窃罪的,可能面临三年以下有期徒刑、拘役或者管制刑,可能并处罚金,数额巨大或者有可以认定为具有其他特别严重情节的,可能面临三年以上十年以下有期徒刑,并处罚金。
韩骁表示,盗窃罪的量刑标准主要根据盗窃财物的数额来确定。在盗用里程事件中,可以参照倒卖里程数量等来进行涉案数额的计算,最终用以帮助确定量刑。
这些航司会员里程积分被盗与信息泄露有脱不开的干系,旅客信息泄露乱象现在依然猖獗。熊维指出,一般来看,民航客运领域能够掌握乘客姓名、手机号、身份证号和机票号、航班号、航班时间在内信息的单位,主要包括提供机票的各家航空公司、提供航空意外险和延误险的保险公司、票务代理机构和平台,以及民航管理部门。
而相对应的,旅客信息泄露也主要有四种途径,熊维表示,“一是航空公司内部员工以一定价格把乘客的信息贩卖出去;二是与航空公司合作的第三方订票平台内部员工把数据卖给了不法分子;三是代理人通过航空公司外放的系统调取乘客信息;四则是机票代理监守自盗把自己客户的数据贩卖出去。”
理论上,所有以上能够接触到个人信息的单位都可能成为信息泄露的漏洞。另外,不法分子还可以使用外挂等违规软件或采取黑客手段入侵系统来获取旅客信息。
韩骁向记者表示,在此类事件中,如果涉案航空公司对于数据泄露只存在管理上的疏忽过失,需承担未尽到确保信息安全义务导致用户个人信息泄露的侵权责任;如果相关数据泄露是故意泄露,那么航空公司即涉嫌侵犯公民个人信息罪,应负刑事责任。而如果信息泄露者为航空公司内部员工,那么公司员工涉嫌侵犯公民个人信息罪。
刑法第二百五十三条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。