Czy powszechną praktyką jest umożliwienie dostępu do konta osoby często podróżującej za pomocą łatwo dostępnych danych osobowych?

8

Czy jest powszechną praktyką w programach często podróżujących linii lotniczych, aby umożliwić dostęp do konta przy użyciu publicznie dostępnych danych osobowych?

Właśnie odkryłem (w najbardziej niefortunny sposób), że program, z którego często korzystam, wymaga jedynie przelotu

  • e-mail
  • adres ulicy
  • Data urodzenia

w celu zapewnienia pełnego dostępu do konta, w tym możliwości wymiany mil, przeglądania i zmiany istniejących tras, dostępu do poufnych danych osobowych, takich jak przechowywane numery paszportów (które strona zachęca użytkowników do przesłania „twojego bezpieczeństwa”), a nawet do zmiany adresu e-mail ( tym samym inicjując proces pełnego przejęcia konta poprzez zresetowanie hasła).

Czy to luźne bezpieczeństwo jest powszechną praktyką w branży?

online-resources security loyalty-programs orome
źródło
4
Najczęściej konta ulotki umożliwiają aktualizację danych paszportu lub karty kredytowej, ale nie pozwalają na ich przeglądanie. Więc jeśli ktoś uzyskał dostęp do twojego konta, byłby w stanie wprowadzić tylko nowe numery (nie zaskoczyłoby mnie, gdyby kod FF nie potwierdził, że nowa karta jest ważna przed jej zapisaniem). Oczywiście trzeba zapytać, czy zezwalają na zmiany adresu e-mail bez weryfikacji wiadomości e-mail wysłanej na stare konto? Jeśli tak, to nazwij i wstydź program.
2
@raxacoricofallapatorius Możesz spróbować zapytać o to Johna z LoyaltyLobby - opisał wiele naruszeń programu lojalnościowego w zeszłym roku i poprzednim roku oraz ma kontakty do zgłaszania problemów w wielu programach
Gagravarr
3
Nazwij i zawstydz program, aby inni mogli zahartować swoje konta.
5
@raxacoricofallapatorius z mojego doświadczenia publiczne zawstydzanie działa 10 razy szybciej niż uprzejmy e-mail do ochroniarza
JonathanReez
2
@raxacoricofallapatorius Osobiście nie widzę w tym nic złego, jeśli masz uzasadnione obawy. Księgowanie na firmowym koncie twitter jest czasem bardzo skuteczne.
RoflcoptrException

Odpowiedzi:

6

Nie! To wcale nie jest powszechne. Ze wszystkich programów FF, z których korzystałem (Delta, Southwest, Korean Air itp.), Wszystkie wymagają hasła do zalogowania. Jest to nie tylko rzadkie, ale z powodów, które odkryłeś, jest to absolutnie okropna praktyka bezpieczeństwa.

Oto kilka przykładów tego, jak główne programy obecnie sobie z tym radzą:

Delta

Witryna Delta wymaga nazwy użytkownika i hasła, aby zalogować się normalnie.

Jeśli zapomniałeś hasła, musisz podać swoje imię i adres e-mail, a oni wyślą link do zmiany hasła na ten adres e-mail, więc posiadanie kontroli nad tym kontem e-mail jest wymagane do zresetowania.

Jeśli zapomniałeś swojej nazwy użytkownika lub numeru SkyMiles, ponownie wprowadź swój adres e-mail i imię, a oni wyślą Ci Twoją nazwę e-mail.

Południowy zachód

Witryna Southwest wymaga także nazwy użytkownika i hasła do normalnego logowania.

Jeśli zapomniałeś hasła, tak jak w przypadku Delta, wpisz swój adres e-mail i imię, a oni wyślą Ci link do zmiany hasła.

Jeśli nie pamiętasz nazwy użytkownika / numeru konta, musisz podać swoje imię i nazwisko, kod pocztowy i adres e-mail, a następnie odpowiedzieć na pytania zabezpieczające, zanim poda ona nazwę użytkownika i numer konta. Jeśli nie masz dostępu do oryginalnego adresu e-mail, musisz wprowadzić swoje imię i nazwisko, kod pocztowy, stary adres e-mail i numer konta , aby zmienić adres e-mail.

Obejście

Mówisz, że omawiany program to „duża ryba”. Jeśli jest wystarczająco duży, aby należeć do jednego z głównych sojuszy (OneWorld, Star Alliance lub SkyTeam) i nie szybko naprawi bezpieczeństwa swojego konta, możesz rozważyć dołączenie do bezpieczniejszego programu FF od innego członka tego samego sojuszu i zacznij zamiast tego przyznawać swoje loty do tego programu. Większość z nich zdobywa wzajemne przebiegi i nagrody, a także co najmniej pewien elitarny przywilej z innymi liniami lotniczymi należącymi do tego samego sojuszu.

reirab
źródło
2
Żeby było jasne: potrzebuję numeru konta i hasła, aby się zalogować. Ale można podać telefonicznie wymienione przedmioty, aby wykorzystać mile lub wyrecytować dane osobowe; lub użyj ich, aby zmienić adres e-mail (bez konieczności potwierdzania na stary adres!), od tego momentu konto może zostać przejęte. Miałem wyczerpane mile i (odkąd to zauważyłem) mogłem przerwać próbę zmiany adresu e-mail. Ale jedynym „bezpieczeństwem”, jakie mam teraz, jest użycie zmyślonego adresu ulicy (według ich sugestii). Moje skradzione mile nie zostały zapisane.
orome,
3
@raxacoricofallapatorius Ah, miałeś na myśli przez telefon. Zrozumiałem, że twoje pytanie oznacza, że ​​stało się to za pośrednictwem ich strony internetowej. Jeśli chodzi o telefon, Delta zwykle rozpoznaje mnie po numerze telefonu, z którego dzwonię. Niestety użycie inżynierii społecznej w celu nakłonienia człowieka do zrobienia czegoś może być znacznie łatwiejsze niż pokonanie środków technicznych. To śmierdzi twoimi milami. Biorąc pod uwagę, że to całkowicie ich wina, że ​​ktoś włamał się na twoje konto, jeśli nie zgodzą się na szybkie przyznanie mil, będę musiał zgodzić się z publicznymi zaleceniami dotyczącymi zawstydzania.
reirab,
Powinno być łatwo zobaczyć rezerwację dokonaną za pomocą twoich mil, a stamtąd uzyskać nazwisko osoby, która je wykorzystała? Musi okazać dowód tożsamości, kiedy wsiada, więc musi to być jego prawdziwe imię. Powiedziałbym, że złapanie go przez policję jest proste i najwyraźniej była to kradzież .
Aganju
@Aganju Domyślam się, że kupiliby za to coś innego niż loty, ale masz rację, jeśli zarezerwowali loty tym. Przynajmniej OP powinien być w stanie zobaczyć, co z tym zrobili.
reirab
1
@Aganju Sposób, w jaki działa to oszustwo, polega na tym, że atakujący sprzedaje lot osobie trzeciej, która natychmiast odlatuje i chce po prostu znaleźć dobrą ofertę. Zazwyczaj pieniądze są wymieniane przez jakiś niewykrywalny i nieodwracalny system. Osoba trzecia, która bierze lot, albo nie wie, że jest to oszustwo, albo nie jest zainteresowana; jeśli go aresztujesz, trudno będzie udowodnić, że był wspólnikiem nielegalności. Atakujący porusza się szybko; on ma swoje pieniądze. Tego rodzaju oszustwo milowe znajduje się na liście priorytetów Interpolu. (Również nie wszystkie loty na całym świecie wymagają nawet dowodu tożsamości.)
Calchas,