對于愛好飛行的“空中飛人”來說，航空里程早已不是什么新鮮話題。如何利用航司的各種會員等級福利？如何積累里程？如何兌換航線？這些與里程相關(guān)的研究和分析，甚至發(fā)展成了非常成熟的社區(qū)文化。

航空里程也在不斷的發(fā)展變化中成為了航司提高旅客忠誠度，與常旅客互動的重要手段。

但試想一下，你在一次次旅程中“辛苦”積攢的航空里程、積分，夢想有天兌換一張免費(fèi)機(jī)票“白嫖”一次旅行，結(jié)果賬戶里的積分卻在某天被一個素不相識的陌生人全部盜刷......是不是聽起來有點(diǎn)匪夷所思？

然而，這種怪事不僅存在，甚至已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈。

在數(shù)字時代的今天，科技的發(fā)展不僅為人們的生活帶來了便利，同時也為黑客們提供了更多的機(jī)會。尤其是近年來航空業(yè)逐漸開始依賴IT系統(tǒng)，再加上航空公司在保護(hù)客戶信息和防范黑客攻擊方面存在諸多薄弱之處，這才給了黑客們一個“完美的”可乘之機(jī)。

他們一次次利用薄弱的航司系統(tǒng)漏洞，非法牟取他人的航空積分和里程再進(jìn)行二次售賣，為買家真正實(shí)現(xiàn)“免費(fèi)”坐飛機(jī)。

黑客利用航司漏洞，可無限授予任何用戶無限里程積分

近期發(fā)生了一件事，可以說引起了航旅業(yè)的“大地震”。

有安全研究人員發(fā)現(xiàn)，全球航空公司和酒店常旅客積分計劃的主要數(shù)字基礎(chǔ)設(shè)施提供商之一Points.com的API中存在可利用漏洞。

要知道，許多知名航空公司和酒店通常有自己的常旅客或所謂忠誠度（積分）獎勵計劃，許多此類計劃的數(shù)字基礎(chǔ)設(shè)施（包括達(dá)美航空的“飛凡里程?？陀媱潯?、美聯(lián)航的前程萬里(MileagePlus)、希爾頓的榮譽(yù)客會和萬豪旅享家）都搭建在Points.com的平臺上，后端系統(tǒng)和服務(wù)套件包括API也都由Points.com提供。

而黑客利用這個常旅客系統(tǒng)漏洞，不僅可以竊取客戶隱私數(shù)據(jù)和積分、還可竊取客戶的“忠誠貨幣”（例如里程），并將其轉(zhuǎn)移到自己的賬戶上，造成受害者賬戶被掏空的情況。

攻擊者還可利用這些漏洞泄漏客戶數(shù)據(jù)、竊取，甚至接管Points全球管理帳戶獲得對整個忠誠度計劃的控制權(quán)。甚至可以控制整個系統(tǒng)給任何人授予無限飛行里程或酒店住宿積分。

其實(shí)早在今年3月，安全研究人員就發(fā)現(xiàn)了包括API遍歷和API配置問題等多個漏洞。其中：

• API遍歷漏洞允許研究人員查詢獎勵計劃的客戶訂單，并獲取包含賬戶信息、地址、電話號碼、電子郵件地址和信用卡號碼等敏感數(shù)據(jù)的訂單記錄。
• API配置問題可導(dǎo)致黑客僅憑姓名和會員編號即可為任意用戶生成帳戶授權(quán)令牌，從而接管客戶賬戶，并控制里程或其他獎勵積分。此外，還發(fā)現(xiàn)了加密cookie使用易于猜測的秘密進(jìn)行加密的漏洞，黑客可以輕松解密cookie并獲得管理員權(quán)限，進(jìn)而控制整個系統(tǒng)。

諸如此類的積分、里程被盜事件，在日常生活中十分常見。

多位明星曾自曝里程被盜

除了普通人的積分里程可能被盜外，常年奔波輾轉(zhuǎn)多地的演員明星等人的航司賬戶，更是黑客們眼中的“一塊肥肉”。

此前，演員吳磊的一位粉絲曬出與航空公司工作人員的聊天對話音頻，稱另一名粉絲多次盜用吳磊的航空里程兌換機(jī)票，一共用掉了23萬飛行里程。

吳磊里程被盜刷一事引發(fā)關(guān)注后，歌手江映蓉也在其個人微博中稱，自己的航空里程被盜了，且被盜里程總數(shù)接近30萬。江映蓉的工作室還表示，聯(lián)系航空公司后，并沒有收到合理的解釋。

演員李晨也發(fā)微博稱看到新聞出于好奇查了一下，結(jié)果自己的里程從2018年起就被盜刷，而且有十來個人享受了這個“福利”。李晨在微博中提到的“您們不買機(jī)票，能不能買幾張俺的電影票支持一下 ”，看起來是一個調(diào)侃，更多是一種無奈。

隨便一查就“中招”，這意味著現(xiàn)實(shí)生活中利益受損的群體遠(yuǎn)比我們想象的龐大。只不過當(dāng)時事件因涉及到明星，事件才很快引起了大家的關(guān)注。

但事實(shí)上，“里程盜竊”并不是什么新鮮事，早在幾年前就曾發(fā)生過。

據(jù)媒體報道，早在2011年，成都就破獲了首起“里程盜竊案”。報道稱，一家航空公司代售點(diǎn)員工利用職務(wù)之便和系統(tǒng)漏洞，在兩個月間盜取了21名乘客的個人信息，轉(zhuǎn)賣了100余萬公里里程，獲利5萬余元，最終因涉嫌盜竊罪被起訴。

另據(jù)廣州日報報道，曾有兩名男子將他人南航明珠會員卡內(nèi)的28萬航空里程積分售賣，其中一名男子將從另一名男子處獲得的來路不明的南航會員賬戶中的里程積分在淘寶上掛出銷售，并最終換為四張廣州至迪拜的機(jī)票。最終，這兩人被分別判處有期徒刑兩年和一年半。

即便已有多人被判刑的前車之鑒，但還是有不少人鋌而走險。畢竟這件事是實(shí)實(shí)在在的有利可圖，免費(fèi)的機(jī)票能不香嗎？

積分里程買賣“黑產(chǎn)”猖獗

其實(shí)原本這些積分和里程的初衷是獎勵給與航司的忠實(shí)旅客的，讓其用于兌換免費(fèi)機(jī)票、升艙等福利。然而，黑市交易者卻通過各種非法手段獲取大量的積分和里程，以高價出售給那些不愿意通過正常途徑積累積分的人。這不僅損害了航空公司的利益，也剝奪了真正忠誠的旅客享受到應(yīng)有的福利。

可如今，在利益的驅(qū)使下，飛機(jī)積分和里程早已變成了一樁樁變質(zhì)的“生意”，成為了一條地下“黑色產(chǎn)業(yè)鏈”。這種黑市交易的出現(xiàn)，給航空公司和旅客帶來了諸多問題和風(fēng)險。

在部分二手交易平臺，已經(jīng)暗暗滋生出了一條新的購買特價機(jī)票渠道。有大量賣家提供里程兌換機(jī)票服務(wù)或直接出售里程積分，覆蓋了包含南航、深航、東航、國航等大部分航空公司，價格為每1萬里程400元-500元不等。

這些售賣里程積分的人往往會通過撞庫、短信劫持等方式盜取用戶信息，通過積分兌換虛擬、實(shí)物商品和機(jī)票實(shí)現(xiàn)套現(xiàn)。另一種積分騙取則是通過短時間內(nèi)多次購買短途機(jī)票使賬戶升級，通過升級后的賬號薅取遠(yuǎn)途或國際特價機(jī)票，倒賣套現(xiàn)。

此前科技研究公司Comparitech就曾發(fā)現(xiàn)，有網(wǎng)絡(luò)犯罪分子在暗網(wǎng)上出售航空公司提供的忠誠度積分，并需要買家通過比特幣和門羅幣進(jìn)行支付。由于這些忠誠度積分能夠用來進(jìn)行門票、購物卡、充值卡兌換或者進(jìn)行其他預(yù)定。且有些地方甚至不需要用戶出示身份證明就可以進(jìn)行兌換，因此給了黑客可乘之機(jī)。

這些黑客進(jìn)入航空公司網(wǎng)站的用戶個人賬戶、或者通過偽造的電子郵件、短信或網(wǎng)站采取多種方式獲取用戶名、密碼和PIN等信息。然后立即出售已經(jīng)入侵的賬戶或?qū)⒎e分轉(zhuǎn)移到另一個賬戶，輕松實(shí)現(xiàn)積分套現(xiàn)。

如今，個人信息泛濫，里程兌換又主要通過手機(jī)綁定，極易被黑客所利用；在個人里程積分被盜用后，個人維權(quán)成本又太高，很多人嫌流程繁瑣，就干脆放棄維權(quán)了，因此這個事情也多年未得到應(yīng)有的重視。

里程積分被盜的背后，是航司逃不過的“鍋”

其實(shí)究其根本，這些航司會員里程積分被盜與信息泄露有脫不開的干系。因?yàn)楸I取里程積分就像游戲“盜號”一樣，只要有用戶個人信息，破解密碼，綁定其他的手機(jī)號碼，就能使用。

而這與航司系統(tǒng)不完善，在管理和保護(hù)乘客的積分賬戶時存在一些潛在的系統(tǒng)漏洞或安全漏洞等問題息息相關(guān)。

比如，航空公司缺乏多重身份驗(yàn)證、弱密碼策略、未及時更新系統(tǒng)補(bǔ)丁和安全更新，這就使得攻擊者可以通過猜測密碼、使用惡意軟件或網(wǎng)絡(luò)釣魚等手段獲得乘客的登錄憑據(jù)，并進(jìn)而訪問和盜取里程積分。

另一方面，航空公司的系統(tǒng)可能存在技術(shù)漏洞或安全隱患。攻擊者可能利用這些漏洞來繞過安全措施，獲取對乘客積分賬戶的訪問權(quán)限。這可能是由于系統(tǒng)設(shè)計上的缺陷、不當(dāng)?shù)呐渲没蜻^期的軟件等原因所致。

當(dāng)里程積分被盜時，乘客可能面臨積分丟失、航班預(yù)訂困難以及個人信息泄露等問題。而在這個積分里程追回的過程中，乘客可能需要花費(fèi)大量時間和精力與航空公司聯(lián)系并解決糾紛，甚至最終仍可能無法完全恢復(fù)被盜的權(quán)益。

亡羊補(bǔ)牢猶未晚矣。我們必須承認(rèn)，在信息裸奔的今天，航司想完全守住乘客的信息不外泄很困難，但也不能就此放任不管。航空公司應(yīng)選擇更加安全的系統(tǒng)架構(gòu)、采用強(qiáng)大的身份驗(yàn)證措施、實(shí)施監(jiān)測和警報機(jī)制，并及時修補(bǔ)可能存在的漏洞。

航司存在漏洞這件事的確在所難免，引起重視并付諸保障廣大乘客信息安全的行動勢在必行。

但對于黑客來說，通過利用航司安全漏洞，竊取積分、里程，或控制整個系統(tǒng)非法授予他人飛行里程或酒店住宿積分的行為，最終面臨的歸宿必將是“牢獄之災(zāi)”，需時刻謹(jǐn)記，切勿觸碰法律的紅線。

而對于我們消費(fèi)者來說，想防止里程積分被盜，現(xiàn)在能采取的措施一個是加強(qiáng)航司會員賬戶密碼強(qiáng)度設(shè)置，再一個就是里程別留太多，盡量盡早使用。

同時，在外出旅游購票時，也更加冷靜的審視所有交易信息，盡量在合理價格區(qū)間內(nèi)尋找符合自己心理預(yù)期的旅游產(chǎn)品與服務(wù)，不“貪小便宜”選購他人非法盜取的里程購票。在充分保證合法、安全的前提下，以更加放松的心態(tài)享受旅行時光。