国庆、中秋双节假期,不少人选择飞机出行,中新经纬客户端提醒您,当心航空里程安全!
进入9月,多位明星艺人反映自己的航空里程被盗刷,引发广泛关注。事实上,不止明星中招,普通人也会遭遇里程被盗用。中新经纬记者调查发现,目前航空里程买卖已成产业链,个人出售里程甚至需提供账号、密码。系列乱象背后,用户个人信息安全遭到挑战,航司也负有不可回避的责任。
不止明星!普通人也遭遇里程盗用
一般情况下,在航空公司注册成会员后,每次购买机票出行时可以累积一笔里程,里程的数额根据舱位和会员卡的等级有所不同。用这些里程可以兑换一些礼品,最受欢迎的就是里程兑换机票。
9月份,明星艺人吴磊、江映蓉、李晨航班里程被他人盗用事件引发广泛关注。上述艺人反映,自己的航空里程积分被陌生人盗用,盗用者用这些里程积分兑换机票,为自己和朋友提供乘机便利。除了里程被盗用,近日演员张萌在微博反映,自己在不知情的情况下被注册了航空公司的会员卡。
张萌直呼,这是比盗用里程更可怕的事情,“航空公司的网络审查这么不严吗?私人的身份证信息怎么会落到陌生人手中?”
据中新经纬记者了解,航空里程被盗刷或盗用不仅发生在飞行次数较多的明星艺人身上,一些普通乘客也遭遇过到过类似情形。
某航空公司会员小茹向中新经纬记者表示,她最近发现自己的航空里程被盗用了。“9月初,我用航空公司App选座时意外发现自己5.5万里程被人在商城兑换了超市购物券、加油卡等物品。而且整个过程,我没有收到任何提示。”小茹说,“后来我发现原来App绑定的手机号被修改了,我推测应该是账号和密码泄露了,别人用账号和密码登录了App,账号就是我的身份证号。”
小茹表示,5.5万里程是分数次被盗用的,而在此之前,她只接收到一条提示。别人在App修改手机号时,航空公司曾给她发送了一封邮件,提示个人信息被修改。但这封邮件被归到了广告类,小茹并没有及时看到这条提示。“我认为航空公司系统存在严重的安全隐患,比如修改绑定的手机号居然不给原手机号发送验证码,登录App也没有提示,积分商城兑换简单,没有二次验证。”而截至目前,航空公司仍没有给她一个合理的说法。
一位资深的网络安全专家对中新经纬记者表示,无论是明星,还是普通乘客,里程被盗刷、盗用大都是通过App完成,而完成这一系列操作,并不需要借用多么高难度的技术,就是个人信息被泄露了。“盗用者获取了乘客的会员账号、密码信息,比如身份证号或者手机号,登录后完成了这些兑换操作。”上述网络安全专家说。
对于被盗用的航空里程,北京市京师律师事务所律师孟博对中新经纬客户端表示,虽然里程积分不是通常意义上的财物,但它也是一种财产性权益。侵犯他人财产性权益,根据具体案情,应分别承担民事责任、行政责任乃至刑事责任。
孟博表示,按照《中华人民共和国刑法》第二百六十四条规定,盗窃公私财物,数额较大的,或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃的,构成盗窃罪。以非法占有为目的,采用冒用他人名义的方式,窃取他人的航空里程积分,如果数额较大,其行为涉嫌构成盗窃罪。
卖里程需提供个人账号密码
中新经纬记者调查发现,目前航空里程买卖已成产业链。在二手交易平台上,有大量卖家提供里程兑换机票服务或直接出售里程积分,覆盖了大部分航空公司,南航、深航、东航、国航等最为普遍,价格为每1万里程400元-500元不等。
一位卖家表示,各大航空公司在用户使用里程兑换机票时需要绑定受益人,如果没有这个步骤,则除会员本人外的其他人不可享受里程积分兑换机票。而绑定受益人需要一个生效过程,这个生效过程一般从半个月到一个月不等,例如东航的生效时间为15天,南航的生效时间为30天。所以如果乘客想购买距离出发日期比较近的机票,时间上会来不及。
中新经纬记者操作发现,东航绑定受益人需要姓名、身份证号码、出生日期、性别、关系的信息,每个会员可以设置10个受益人,但受益人可以删减。在绑定受益人的过程中,东航并不需要会员进行多余的身份认证即可完成。
对于手中的里程从何而来,上述卖家表示不方面透露。
中新经纬记者注意到,除了有人出售里程,还要人专门收里程。董鑫(化名)专门收东航里程,且“从事这项业务已经多年了”。
“300元1万里程,三天返款,可走闲鱼。”当中新经纬记者询问如何交易里程时,董鑫表示,需要提供出售人东航App登录账号、密码以及交易密码。当被问及是会泄露个人信息时,他表示并不会有什么安全风险,“里程消完之后你再修改密码就行了。”
董鑫还表示,他收上来这些里程主要是卖给一些差旅需求比较大的公司。“有些人手里有里程,没有出行需求,暂时用不上,就可以把这些里程卖给需要的人去换机票。”
上述安全专家对此表示,把这些重要的个人信息交给别人,虽然可以修改密码,但仍后患无穷。“别人成功登录你的账号,就等于这个账号下所有你的个人信息都暴露了,比如兑换商城里可能有一些交易记录,包含收货地址、手机号等信息,个人信息泄露风险极大,不建议用户出售个人里程。”
专家:个人信息未能得到保护 航司责任不可回避
孟博表示,司法实践中,已经有被告人因盗用他人航空里程积分,并将此出售获利,被人民法院依法判处有期徒刑,并处罚金。
公开资料显示,2011年,成都破获了首起“里程盗窃案”。据媒体报道,一家航空公司代售点员工利用职务之便和系统漏洞,在两个月间盗取了21名乘客的个人信息,转卖了100余万公里里程,获利5万余元,最终因涉嫌盗窃罪被起诉。
据广州日报2011年报道,两名男子将别人南航明珠会员卡内的28万航空里程积分售卖,其中一名男子将从另一名男子处获得的来路不明的南航会员账户中的里程积分在淘宝上挂出销售,并最终换为四张广州至迪拜的机票。最终,这两人被分别判处有期徒刑两年和一年半。
为了避免里程盗用现象发生,目前,已有部分航空公司启用人脸识别验证会员身份,而仍有部分航空公司仅凭身份证信息即可完成会员卡注册等一系列操作。
“消费者发现航空里程积分被盗用后要及时更改密码,报警维权。”中国人民大学法学院教授刘俊海指出,他也提醒航空公司,作为平台方,其责任不可回避,可能承担民事责任,“如果在核对明星的身份或者登录的用户名和密码时,没有尽到必要的安全保障义务,航空公司则在主观上产生过错。”
孟博认为,航空里程盗用乱象屡禁不止的一个重要原因是目前公民个人信息未能得到充分保护。对于如何加强对公民个人信息的保护,孟博认为要从以下几个方面入手:
一、从司法角度而言,要依照《刑法》相关规定,加大对非法获取、非法提供、非法买卖公民个人信息的犯罪行为的打击力度,提升犯罪分子的犯罪成本,对其形成有效震慑。
二、从立法角度看,鉴于非法使用公民个人信息的行为作为侵犯公民个人信息罪的核心行为所带来的严重社会危害,建议启动刑法规制,对此类行为予以严惩。
三、从电信业务经营者、互联网信息服务提供者角度来说,应当严格遵守《网络安全法》、《电子商务法》、《电信和互联网用户个人信息保护规定》等法律法规,对所收集的用户信息严格保密,并建立健全用户信息保护制度。
四、对广大网友而言,要提升信息保护意识,规范操作,保护好自己的信息安全,还要做到不轻信陌生来电、不轻易点击不明链接和二维码、不轻易转账。当自己的个人信息、财产安全遭遇风险时,立即报警。