个人资料 
退出登录 
近日,国泰航空的一纸声明,将航空里程安全问题再次推向公众视野:
约1000名会员账户遭非法入侵,“亚洲万里通”里数被盗,黑客利用双重验证漏洞和互联网泄露的账户凭证得手。
图源:国泰航空官网
对国泰来说,这也不是第一次发生。据Yahoo报道,2023年底也有类似情况。
这并非孤例,从普通网友发现国泰里程被陌生人兑换机票,到明星吴磊23万里程被粉丝盗用,航空积分正成为网络黑产的“香饽饽”,而背后是一套横跨制度漏洞、信息安全与灰色产业链的复杂棋局。
01
国内航司的“受让人”制度本是为了规范里程使用,却意外成为黑客的突破口。
这套制度要求给他人兑票时必须提前添加受让人,不同航司的生效时间由即时到60天不等:
- 比如,国航凤凰知音普通会员添加受让人需30天生效,
- 南航明珠首次添加要15天,
- 国泰亚洲万里通则是立即生效。
这个看似便捷的设定,恰恰让黑客有机可乘。
2020年,明星吴磊里程被盗案中,粉丝正是利用南航受让人制度的时间差,先盗用身份信息添加自己为受让人,等待15天生效期后疯狂兑票。
实际上,受让人名单的增加也需要“门槛”。
比如,在南航微信小程序中操作建立受让人名单时,首先要登录会员账号,随后通过人脸识别或银联认证等方式完成实名认证,只有认证通过,才能进行受让人信息的新增,填写对方的姓名及证件号码。
这样的流程设计虽然增加了操作步骤,但通过多重身份验证能有效保障会员账户及积分使用的安全性,减少信息冒用或误操作带来的风险,从用户权益保护角度来看是较为合理的。
但为何明星航司里程被盗的事件,却依旧层出不穷?
02
回到前文提到的国泰事件。
国泰此次承认“不法分子部分利用了互联网上外泄的有效会员账户凭证”,这揭开了航司信息安全的双重隐患:
底层是系统漏洞,如国泰的双重验证缺陷、2025年澳航600万客户信息因第三方平台被黑泄露;
表层则是用户习惯薄弱,大量会员仍在使用生日、手机号等弱密码。
明星群体成为重灾区并非偶然。
江映蓉26.5万里程被盗时,陌生人能精准添加受让人;李晨的里程卡从2018年起被十余人”共享,这些案例指向明星隐私的批量泄露。
黑产市场上,几十元就能买到明星身份证号、常旅客卡号等信息,甚至有“包年服务”实时更新行程。
更隐蔽的风险,来自代理人环节。
有航空从业者透露,部分代理会利用职务之便获取乘客信息:“抓到过用特价票幌子套取会员账号的,被发现就立刻换票,手法很熟练。”
这些“内鬼外鬼”的配合,让里程盗窃形成完整产业链。
03
“这就是某些代理所谓特价票的来源”,一位航空从业者的爆料直指行业潜规则。
某些代理通过批量盗取里程,兑换机票后低价出售,被航司查获就“迅速换一张票”,消费者往往直到登机时才发现票被冻结,维权无门。
这种灰色操作的根源在于里程的“现金属性”,1万里程价值约500-700 元,相当于一张短途机票的价格。
就有二手平台公然叫卖航司“里程兑换服务”,价格几百元左右,交易很是火热。
从国泰的技术漏洞到国内航司的制度博弈,从明星隐私泄露到代理人的暗箱操作,航空里程安全问题早已超越单一企业的范畴。
当积分成为“数字现金”,航司或许该重新审视:是时候用更高的安全标准来守护这些“空中财富“。
毕竟,没人希望自己辛苦积攒的飞行里程,最终变成黑客和黑产的“提款机”。
评论
未登录