顶象:全面剖析“明星航空里程被盗用”背后的业务风险

近日,“站姐盗用吴磊里程积分”的话题登上微博热搜榜,演员吴磊的一位粉丝晒出与航空公司工作人员的聊天对话音频,称另一名粉丝多次盗用吴磊航空里程兑换机票,共使用掉23万飞行里程,严重侵害了吴磊利益。

随后几天,江映蓉、黄英、李晨等明星也纷纷发文表示,自己的航空里程被不认识的人士盗用。这到底是怎么回事?

据了解,吴磊疑似是被3人盗用里程约23万,江映蓉疑被盗用26.5万里程,李晨从2018年6月份开始被十余人盗刷,并且涉及到了多家的航空公司,如果这些数据属实,已经给明星艺人带来了经济损失。

明星历程是怎么被盗用的?谁能够盗用他人账户的历程?这类业务风险该怎么防控?

什么是航空里程?

航空里程,就是航空公司俱乐部的会员积分,也就是航空公司的客户忠诚计划。国内的四大航空公司均成立了俱乐部用于会员服务:中国国际航空的是凤凰知音俱乐部,南方航空是明珠俱乐部,东方航空的东方万里行俱乐部,海南航空的金鹏俱乐部等。

俱乐部会员乘坐相应航空公司的飞机航班可以获得一定的里程,不过不同的舱位积累里程的比例也不同。购买机票的票价和舱位越高,积累的里程也就越多。比如很多特价票一般不能累计里程,或者积累很少的里程。

大部分航空公司的累计里程的有效期是三年,里程可以用里程兑换免费机票、免费升舱、免费获得酒店、出行等优惠和服务等。此外,很多航空公司都有推出受益人制度,也就是可以用自己积累里程为他人兑换机票。这也是“站姐盗用吴磊里程积分”发生的原因,也就是明星自己累计的航空里程因为不明原因情况下,里程被非指定受让人挪用。该行为就好比银行户内的余额被陌生人转走,支付账号为陌生人的购物买单一样。

航空里程的使用流程比较简单,这就为被盗用留下隐患。会员账户里的航空里程兑换机票流程如下:

首先,登录航空公司官网或App进入俱乐部,输入会员卡号及密码进入会员中心。

其次,选择“里程兑换”,在出现的机票列表里,按照时间、航段进行搜索。

然后,选择可以兑换的日期及航班,并确定。

下一步,选择机票受益人,或者是账户持有人,或者是受让人。

最后,支付票款,也就是扣减航空里程。

航空里程被盗用背后的三个业务风险

掌握了会员的身份证、账号、密码,然后把不认识的陌生人添加为账号的受让人,进而直接购票。虽然个别航空公司将受让人添加到受让名单里后需要60天后才能生效,但是大多数航空公司添加受让人后立即就生效。

由此就涉及到三个风险:用户信息泄露风险(用户账号密码丢失)、仿冒登录风险(账户暴力破解账户,并冒充用户登录操作)和内部异常操作风险(平台管理人员越权操作,涉嫌窃取密码、登录用户账号)。

首先看用户信息泄露风险。一般来说,信息泄露主要有三类途径:一类是拥有大量用户平台遭入侵,导致信息泄露,比如频发酒店、网站信息泄露事件;一类是部分公共机构、企业的内部人员,缺乏责任意识或因为利益,主动或无意的泄露窃取用户数据,比如车管所、房产公司、保险公司;一类是用户自己无意识泄露,比如通过微博、朋友圈等社交平台等。由此就涉及到三类风险。

根据媒体报道,买卖明星个人信息已有完整产业链,在微博、微信、闲鱼等渠道被明码标价公开售卖,这些信息价格低廉,从几块到100元不等,500元就能打包购买上明星的身份信息、航班时刻表,只要花钱就能买到。以10元的价格获得了一份文档,里面记录着上千位明星、主持人、经纪人的身份证和护照信息等。

购买明星信息都是粉丝为了追星,比如知道了身份证号和航班信息之后,就能前往机场接机、蹲公司、藏酒店、做群演,乃至和“爱豆”住在同一个小区、去同一个健身房……还有“私生饭”能从特定明星的机票、酒店信息,扒出明星的绯闻等。

再来看账户仿冒登录风险和内部异常操作风险。内部操作风险是指内部人员利用内部的安全管理漏洞,越权窃取机密信息、进行非授权的操作、或重要信息或文件丢失、误删毒等。数据统计,2013年公共管理单位发生的安全事件,81%的是由于内部人员过失泄密或主动窃密造成,内控风险已经成为重大安全隐患之一。

媒体报道,某些机票代理商直接用陌生人的里程给旅客出机票,导致旅客在国外值机时被拦。记者通过社群和电商平搜索发现,有大量标明出售里程的卖家。2011年,成都某机票销售人员代某盗窃他人航空里程积分并出售获利而获刑九个月。通过社群和电商平搜索发现,有大量标明出售里程的卖家。

三个层面增强航空会员的安全性

用户航空里程积分被盗用是典型的业务安全事,航空公司需要进一步完善业务规则,并通过技术手段进行防护。

1、进一步完善会员账号和航空里程积分管理系统,提升业务的安全性。

(1)一个手机号只能绑一个会员账户,且需要会员证件号、手机、名字等要一一对应。

(2)在会员使用里程时,发送验证码到手机号码上进行二次确认,里程积分消费后也会有短信通知。

(3)账户添加受让人,需要会员和受让人双方二次短信确认。

2、通过技术手段,增强账户的安全性。

(1)顶象风控系统5.0集成App加固和无感验证两大工具。其中,App加固基于虚机源码保护专利技术,内嵌一机一密功能,保护App的代码、资源文件、用户数据,能有效侦测模拟器、刷机改机、调试破解等欺诈行为;设备能够实时判断注册登录账户,有效防范程序化的批量注册、黑客恶意登录、网络非法爬取等欺诈风险。能够有效防范针对用户账号的暴力破解、仿冒登录。

(2)顶象风控系统5.0集成风控决策引擎,能够基于对内部操作人身份、IP地址、时间戳等信息,对内部操作人员进行限制,通过对设备、身份、网络、行为等多维操作风险策略,层层筛查操作风险,布控操作行为监控策略,实时检测内部人员风险操作,实时检测内部人员风险操作。一旦发现越权访问、异常的操作或非安全环境,及进行报警,从而有效防范内部操作风险。

3、借助法律手段,严惩盗用账户行为。

按照侵权责任法的规定,未经他人允许,损害他人的人身权益和财产权益,给他人造成损害的应承担民事责任,需停止侵害,赔偿损失,赔礼道歉,甚至还要返还财产,恢复原状。

盗窃他人的航空公司账号,并进行转让航空里程积分等操作,属于非法获取计算机信息系统数据行为。如果盗窃的航空里程价值较低,只需予以治安管理处罚;但如果价值金额比较高,则构成盗窃罪。这名粉丝共盗用23万航空里程,折合成同等价值的人民币为11500余元。参照此标准,应认定为“数额较大”,可处3年以下有期徒刑、拘役或者管制,并处或者单处罚金。