最近艺人的航空里程相继被盗，盗窃者是如何得手的？有什么方法能加以防范？ 第1页

谢邀。

这几天有知友私信知安君，说作为权威的阿里机构号，最好不要去吃娱乐圈的瓜。但知安君发现娱乐圈每天关于网络安全的“坑”实在太多，忍不住来填一填。

说到明星里程被盗这个事情，在弄清盗窃者是怎么得手的之前，知安君先带大家了解几个前提：

1、用户在航空公司APP上添加受让人时，是需要进行身份验证的，比如国航提供了手机和银行卡两种验证方式，这两种方式到最后都会要求用户提供短信验证码。
2、在航空公司APP上注册会员时，通常的流程是用户先用手机号注册，然后绑定身份证等证件信息。注意，虽然现在大部分手机号都是实名制，但你在注册会员时，航空公司是无法通过手机号知道你是谁的，因为这个只有运营商知道。所以，航空公司只能通过你绑定的证件信息来进行身份认证。于是，这里就出现了一个关键BUG，只要这张身份证之前没注册过航空公司的会员，理论上你就可以用自己的手机号来绑定别人的身份信息。
3、航空公司APP或小程序是在近些年移动互联网浪潮下才上线的，对于包括明星和很多商务人士在内的“空中飞人”来说，在移动互联网出现前，它们使用的多是实体会员卡。当然，他们如果在移动端注册会员后，此前累计的里程也会同步至线上的APP中。

需要说明的是，这几个前提都基于航空公司APP目前的实际情况。这些APP的安全架构在此之前经历了一个怎样的迭代过程，知安君并不掌握，因此只能基于目前的实际情况分析盗窃者为什么能得手。

本周内接连出现吴磊、江映蓉、李晨等三位明星航空里程被盗事件，个人信息泄露是表层诱因，明星作为公众人物，他们的身份信息很容易在泄露后被用于牟利交易。

真正的关键原因是盗窃者利用了流程或系统漏洞，甚至动用了非常规的黑客手段。

知安君在上面的三个前提里提到，不管是注册航空公司APP还是添加受让人盗用里程，有一个非常关键的步骤，那就是盗用者必须知道手机短信验证码才能得手。

综合上面的前提和分析，知安君推测盗窃者得手有以下四种可能性——

• 第一种

出于工作原因，很多明星都是“空中飞人”，在航空公司APP上线之前，使用的都是这些公司的实体会员卡，一直没有在APP或网页端注册会员。

盗用者在拿到明星们的身份证号等信息后，先用自己的手机在航空公司APP上注册，然后绑定明星的身份证件。这种情况下，盗用者在添加受让人时，用于验证身份的短信验证码就会发到自己手机上，从而骗过航空公司风控系统进行里程盗用。

这种情况下，盗用者只需要知道明星们的身份证件信息即可。

• 第二种

明星们已在航空公司APP上注册了会员，盗用者通过非正常途径获取了他们在航空公司APP的账号密码，登录之后，联系航空公司客服将已绑定的手机号更换为盗用者自己的手机号。

由于更换手机号也需要验证码，这种情况下，盗用者需要拿到明星们的身份证扫描件等可以证明身份的证件信息，以目前绑定的手机号已弃用等理由联系人工客服进行更换。更换成功后，即可实现受让人添加。

• 第三种

明星们的工作团队里出现了“内鬼”。盗用者不仅获取了明星们的账号密码，还能通过内部渠道轻而易举的拿到受让人添加步骤所需的短信验证码。

• 第四种

盗用者在获取航空公司APP账户与密码之后，在进行受让人添加时，利用嗅探器等黑客手段去窃取明星手机上的短信验证码。

综合以上四种可能性，第一种与第二种是利用了航空公司工作流程与APP安全漏洞，对盗用者而言风险低且性价比高。第三种，推测多为明星经纪团队里的工作人员，将这些不起眼的“小福利”输送给身份的亲友。第四种的可能性则比较低，毕竟1万里程才相当于500元，为了价值一两万元的里程而动用黑客手段并不划算。

啰里啰嗦终于说完了，最后套用一句话——

成名道路千万条，网络安全第一条。