Ist es üblich, den Zugriff auf Vielfliegerkonten mit leicht verfügbaren persönlichen Daten zuzulassen?

8

Ist es bei Vielfliegermeilenprogrammen von Fluggesellschaften üblich, den Kontozugriff über öffentlich verfügbare persönliche Daten zu ermöglichen?

Ich habe gerade (auf die unglücklichste Weise) festgestellt, dass ein Vielfliegermeilenprogramm, das ich verwende, nur erforderlich ist

  • Email
  • Adresse
  • Geburtsdatum

um vollen Kontozugriff zu gewähren, einschließlich der Möglichkeit, Meilen einzulösen, vorhandene Reiserouten anzuzeigen und zu ändern, auf vertrauliche persönliche Informationen wie gespeicherte Passnummern zuzugreifen (die auf der Website von Benutzern empfohlen werden, um "Ihre Sicherheit" zu gewährleisten) und sogar die E-Mail-Adresse zu ändern ( Dadurch wird der Prozess der vollständigen Kontoübernahme durch Zurücksetzen des Passworts eingeleitet.

Ist diese laxe Sicherheit in der Branche üblich?

online-resources security loyalty-programs orome
quelle
4
Mit den meisten Vielfliegerkonten können Sie Ihre Pass- oder Kreditkartendaten aktualisieren, aber Sie können sie nicht anzeigen. Wenn also jemand auf Ihr Konto zugreift, kann er nur einige neue Nummern eingeben (würde mich nicht wundern, wenn der FF-Code vor dem Speichern nicht bestätigt, dass eine neue Karte gültig ist). Natürlich muss man sich fragen, ob sie E-Mail-Änderungen zulassen, ohne dass eine verifizierende E-Mail an das alte Konto gesendet wird. Wenn ja, dann benenne und beschäme das Programm.
2
@raxacoricofallapatorius Sie könnten versuchen , John von LoyaltyLobby danach zu fragen - er deckte viele der Verstöße gegen das Treueprogramm im letzten Jahr und im Jahr zuvor ab und hat Kontakte, um Probleme für viele Programme zu melden
Gagravarr
3
Benennen und beschämen Sie das Programm, damit andere ihre Konten härten können.
5
@raxacoricofallapatorius meiner Erfahrung nach funktioniert öffentliches Scham 10x schneller als eine höfliche E-Mail an den Sicherheitsmann
JonathanReez
2
@raxacoricofallapatorius Ich persönlich sehe nichts falsch daran, wenn Sie ein berechtigtes Anliegen haben. Das Posten auf dem Twitter-Konto eines Unternehmens ist manchmal sehr effektiv.
RoflcoptrException

Antworten:

6

Nein! Dies ist überhaupt nicht üblich. Von allen FF-Programmen, die ich verwendet habe (Delta, Southwest, Korean Air usw.), ist für die Anmeldung ein Kennwort erforderlich. Dies ist nicht nur ungewöhnlich, sondern aus den von Ihnen herausgefundenen Gründen eine absolut schreckliche Sicherheitspraxis.

Hier einige Beispiele, wie große Programme derzeit damit umgehen:

Delta

Die Website von Delta erfordert einen Benutzernamen und ein Passwort, um sich normal anzumelden.

Wenn Sie Ihr Passwort vergessen haben, müssen Sie Ihren Namen und Ihre E-Mail-Adresse eingeben. Der Link wird gesendet, um Ihr Passwort in diese E-Mail-Adresse zu ändern. Zum Zurücksetzen ist daher die Kontrolle über dieses E-Mail-Konto erforderlich.

Wenn Sie Ihren Benutzernamen oder Ihre SkyMiles-Nummer vergessen haben, geben Sie erneut Ihre E-Mail-Adresse und Ihren Namen ein und Sie erhalten Ihren Benutzernamen per E-Mail.

Südwesten

Für die Website von Southwest sind außerdem ein Benutzername und ein Passwort erforderlich, um sich normal anzumelden.

Wenn Sie Ihr Passwort vergessen haben, wie bei Delta, geben Sie Ihre E-Mail-Adresse und Ihren Namen ein und Sie erhalten per E-Mail den Link zum Ändern Ihres Passworts.

Wenn Sie Ihren Benutzernamen / Ihre Kontonummer vergessen haben, müssen Sie Ihren Namen, Ihre Postleitzahl und Ihre E-Mail-Adresse eingeben und dann Ihre Sicherheitsfragen beantworten, bevor Sie Ihren Benutzernamen und Ihre Kontonummer erhalten. Wenn Sie keinen Zugriff auf Ihre ursprüngliche E-Mail-Adresse haben, müssen Sie Ihren Namen, Ihre Postleitzahl, Ihre alte E-Mail-Adresse und Ihre Kontonummer eingeben, um Ihre E-Mail-Adresse zu ändern.

Problemumgehung

Sie sagen, dass das fragliche Programm ein "großer Fisch" ist. Wenn es groß genug ist, um Teil einer der wichtigsten Allianzen (OneWorld, Star Alliance oder SkyTeam) zu sein, und die Kontosicherheit nicht schnell behoben werden kann, sollten Sie in Betracht ziehen, einem sichereren FF-Programm eines anderen Mitglieds beizutreten der gleichen Allianz und schreiben Sie stattdessen einfach Ihre Flüge diesem Programm gut. Die meisten von ihnen haben gegenseitige Meilen sammeln und Prämien sowie zumindest einen gewissen Grad an gegenseitigen Elite-Vorteilen mit anderen Mitgliedsfluggesellschaften derselben Allianz.

Reirab
quelle
2
Um ganz klar zu sein: Ich benötige meine Kontonummer und mein Passwort, um mich anzumelden. Man kann jedoch die über das Telefon aufgelisteten Artikel zur Verwendung von Meilen oder zur Angabe persönlicher Daten angeben. oder verwenden Sie sie, um die E-Mail-Adresse zu ändern (ohne dass eine Bestätigung an der alten Adresse erforderlich ist!), von wo aus das Konto usurpiert werden kann. Ich hatte meine Meilen abgelassen und konnte (seit ich das bemerkt habe) den Versuch, die E-Mail zu ändern, unterbrechen. Aber die einzige "Sicherheit", die ich jetzt habe, ist die Verwendung einer erfundenen Adresse (gemäß ihrem Vorschlag). Meine gestohlenen Meilen wurden nicht gutgeschrieben.
Orome
3
@raxacoricofallapatorius Ah, du meintest über das Telefon. Ich habe Ihre Frage so verstanden, dass dies über ihre Website geschehen ist. Was das Telefon betrifft, erkennt Delta mich normalerweise nur an der Telefonnummer, von der aus ich anrufe. Leider kann es viel einfacher sein, einen Menschen durch Social Engineering dazu zu bringen, etwas zu tun, als technische Maßnahmen zu vereiteln. Das stinkt nach deinen Meilen. In Anbetracht der Tatsache, dass es völlig ihre Schuld ist, dass Ihr Konto kompromittiert wurde, müsste ich den öffentlichen Schamempfehlungen zustimmen, wenn sie nicht zustimmen, die Meilen bald gutzuschreiben.
Reirab
Es sollte leicht sein, die Reservierung zu sehen, die mit Ihren Meilen vorgenommen wurde, und von dort den Namen der Person zu erhalten, die sie verwendet hat? Er muss seinen Ausweis zeigen, wenn er an Bord geht, also muss es sein richtiger Name sein. Ich würde sagen, es ist einfach für die Polizei, ihn zu bekommen, und es war eindeutig Diebstahl .
Aganju
@Aganju Ich würde vermuten, dass sie etwas anderes als Flüge damit kaufen würden, aber Sie haben Recht, wenn sie Flüge damit gebucht haben. Zumindest sollte OP sehen können, was sie damit gemacht haben.
Reirab
1
@Aganju Die Art und Weise, wie dieser Betrug funktioniert, ist, dass der Angreifer einen Flug an einen Dritten verkauft, der unmittelbar abfliegt und nur ein gutes Geschäft finden möchte. Normalerweise wird das Geld von einem nicht nachvollziehbaren und irreversiblen System ausgetauscht. Der Dritte, der den Flug nimmt, weiß entweder nicht, dass es sich um Betrug handelt, oder ist nicht interessiert. Wenn Sie ihn verhaften, wird es schwierig sein zu beweisen, dass er ein Komplize der Illegalität war. Der Angreifer geht schnell weiter; Er hat sein Geld. Diese Art von Meilenbetrug steht tatsächlich auf der Interpol-Prioritätenliste. (Auch nicht alle Flüge weltweit erfordern sogar einen Ausweis.)
Calchas