È pratica comune consentire l'accesso all'account frequent flyer con dettagli personali facilmente disponibili?

8

È prassi comune per i programmi di miglia frequent flyer delle compagnie aeree consentire l'accesso all'account utilizzando i dati personali disponibili al pubblico?

Ho appena scoperto (nel modo più sfortunato) che un programma di miglia frequent flyer che utilizzo richiede solo

  • e-mail
  • indirizzo
  • Data di nascita

per consentire l'accesso completo all'account, inclusa la possibilità di riscattare miglia, visualizzare e modificare itinerari esistenti, accedere a informazioni personali sensibili come numeri di passaporto memorizzati (che il sito incoraggia gli utenti a inviare per "la tua sicurezza") e persino a cambiare l'indirizzo email ( iniziando così il processo di acquisizione completa dell'account tramite la reimpostazione della password).

Questa lassista sicurezza è una pratica comune nel settore?

online-resources  security  loyalty-programs 
Orome
fonte
4
Gli account dei volantini più frequenti ti consentono di aggiornare i dettagli del passaporto o della carta di credito, ma non ti consentono di visualizzarli. Quindi, se qualcuno accedesse al tuo account, sarebbe in grado di inserire solo alcuni nuovi numeri (non mi sorprenderebbe se il codice FF non verificasse che una nuova carta fosse valida prima di memorizzarla). Ovviamente bisogna chiedersi se consentono le modifiche e-mail senza una e-mail di verifica inviata al vecchio account? Se è così, allora nomina e vergogna il programma.
2
@raxacoricofallapatorius Potresti provare a chiedere a John di LoyaltyLobby su di esso - ha coperto molte delle violazioni del programma di fidelizzazione l'anno scorso e l'anno precedente e ha contatti per segnalare problemi per molti programmi
Gagravarr
3
Dai un nome e vergogna al programma, in modo che altri possano rafforzare i loro account.
5
@raxacoricofallapatorius nella mia esperienza lo shaming pubblico funziona 10 volte più velocemente di un'e-mail educata al ragazzo della sicurezza
JonathanReez
2
@raxacoricofallapatorius Personalmente non vedo nulla di sbagliato in questo se hai una preoccupazione valida. La pubblicazione su un account Twitter di un'azienda è talvolta molto efficace.
RoflcoptrException

Risposte:

6

No! Questo non è affatto comune. Di tutti i programmi FF che ho usato (Delta, Southwest, Korean Air, ecc.) Tutti richiedono una password per accedere. Non solo è insolito, ma è una pratica di sicurezza assolutamente orribile per i motivi che hai scoperto.

Ecco un paio di esempi di come i principali programmi gestiscono attualmente questo:

Delta

Il sito Web di Delta richiede un nome utente e una password per accedere normalmente.

Se hai dimenticato la password, devi inserire il tuo nome e indirizzo e-mail e questi invieranno il link per cambiare la tua password in quell'indirizzo e-mail, quindi per reimpostare è necessario avere il controllo di quell'account e-mail.

Se hai dimenticato il tuo nome utente o il numero SkyMiles, inserisci nuovamente il tuo indirizzo e-mail e il tuo nome e ti invieranno il tuo nome utente.

sud-ovest

Il sito Web di Southwest richiede anche un nome utente e una password per accedere normalmente.

Se hai dimenticato la password, come con Delta, inserisci il tuo indirizzo e-mail e il tuo nome e ti inviano il link per cambiare la password.

Se hai dimenticato il tuo nome utente / numero di account, devi inserire il tuo nome, codice postale e indirizzo e-mail, quindi rispondere alle tue domande di sicurezza prima che ti fornisca il tuo nome utente e il numero di account. Se non hai accesso al tuo indirizzo e-mail originale, devi inserire il tuo nome, codice postale, vecchio indirizzo e-mail e numero di conto per cambiare la tua e-mail.

Soluzione

Dici che il programma in questione è un "pesce grosso". Se è abbastanza grande per far parte di una delle principali alleanze (OneWorld, Star Alliance o SkyTeam) e non risolveranno rapidamente la sicurezza del loro account, potresti prendere in considerazione l'idea di iscriverti a un programma FF più sicuro da un altro membro della stessa alleanza e inizia invece ad accreditare i tuoi voli per quel programma. La maggior parte di loro ha miglia e guadagni reciproci di miglia, oltre ad almeno un certo grado di vantaggi reciproci d'élite con altre compagnie aeree aderenti alla stessa alleanza.

reirab
fonte
2
Per essere chiari: ho bisogno del mio numero di conto e della mia password per accedere. Ma si possono dare gli articoli elencati al telefono per usare miglia o per far recitare i dati personali; o usali per cambiare l'indirizzo e-mail (senza richiedere conferma al vecchio indirizzo!) da cui l'account può essere usurpato. Avevo scaricato le mie miglia e (da quando l'ho notato) sono stato in grado di interrompere il tentativo di modificare l'e-mail. Ma l'unica "sicurezza" che ho ora è l'uso di un indirizzo di strada inventato (secondo il loro suggerimento). Le mie miglia rubate non sono state accreditate.
orome,
3
@raxacoricofallapatorius Ah, intendevi al telefono. Ho compreso la tua domanda nel senso che ciò era accaduto tramite il loro sito Web. Per quanto riguarda il telefono, Delta normalmente mi riconosce solo per il numero di telefono da cui chiamo. Sfortunatamente, usare l'ingegneria sociale per indurre un essere umano a fare qualcosa può essere un po 'più facile che sconfiggere le misure tecniche. Questo puzza per le tue miglia. Considerando che è interamente colpa loro se il tuo account è stato compromesso, se non accetteranno di accreditare presto le miglia, dovrei essere d'accordo con i consigli di vergogna del pubblico.
reirab
Dovrebbe essere facile vedere la prenotazione che è stata fatta con le tue miglia e da lì ottenere il nome della persona che le ha utilizzate? Deve mostrare un ID quando si imbarca, quindi deve essere il suo vero nome. Direi che è semplice per la polizia prenderlo, e chiaramente è stato un furto .
Aganju,
@Aganju Immagino che comprerebbero qualcosa di diverso dai voli con esso, ma hai ragione se prenotassero voli con esso. Per lo meno, OP dovrebbe essere in grado di vedere cosa hanno fatto con esso.
reirab
1
@Aganju Il modo in cui funziona questa truffa è che l'attaccante vende un volo a una terza parte che parte imminentemente e vuole solo trovare un buon affare. Di solito il denaro viene scambiato da un sistema non rintracciabile e irreversibile. La terza parte, che prende il volo, o non sa che è una frode o non è interessata; se lo arresti sarà difficile provare che era complice dell'illegalità. L'attaccante si muove rapidamente; lui ha i suoi soldi. Questo tipo di frode di miglia è in realtà nell'elenco delle priorità dell'Interpol. (Inoltre, non tutti i voli in tutto il mondo richiedono nemmeno un documento di identità.)
Calchas
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.