Является ли обычной практикой предоставление доступа к учетной записи часто летающего пассажира с легко доступными личными данными?

Является ли обычной практикой для авиакомпаний, использующих мили для часто летающих пассажиров, предоставление доступа к учетной записи с использованием общедоступных личных данных?

Я только что обнаружил (самым прискорбным образом), что используемая мной программа для часто летающих миль требует только

Эл. почта
адрес улицы
Дата рождения

предоставить полный доступ к учетной записи, включая возможность использовать мили, просматривать и изменять существующие маршруты, доступ к конфиденциальной личной информации, такой как сохраненные номера паспортов (которые сайт рекомендует пользователям представлять для «вашей безопасности»), и даже изменять адрес электронной почты ( тем самым инициируя процесс полного поглощения учетной записи через сброс пароля).

Является ли эта слабая безопасность распространенной практикой в отрасли?

online-resources security loyalty-programs

— Оромэ
источник

Аккаунты большинства часто летающих пассажиров позволяют обновлять данные вашего паспорта или кредитной карты, но не позволяют просматривать их. Поэтому, если кто-то получит доступ к вашей учетной записи, он сможет ввести только новые номера (меня не удивит, если код FF не подтвердит правильность какой-либо новой карты перед ее сохранением). Конечно, нужно спросить, разрешают ли они изменения электронной почты без проверочного сообщения, отправленного на старую учетную запись? Если так, то назовите и опозорите программу.

@raxacoricofallapatorius Вы можете попробовать спросить об этом Джона из LoyaltyLobby - он рассмотрел многие нарушения программы лояльности в прошлом году и годом ранее и имеет контакты, чтобы сообщить о проблемах для многих программ

— Гаграварр

Назовите и опозорите программу, чтобы другие могли укрепить свои учетные записи.

В моем опыте @raxacoricofallapatorius публичный позор работает в 10 раз быстрее, чем вежливое электронное письмо охраннику

— JonathanReez

@raxacoricofallapatorius Я лично не вижу в этом ничего плохого, если у вас есть веские основания для беспокойства. Публикация в твиттере компании иногда очень эффективна.

— RoflcoptrException

Нет! Это не распространено вообще. Из всех программ FF, которые я использовал (Delta, Southwest, Korean Air и т. Д.), Для входа требуется пароль. Мало того, что это необычно, это абсолютно ужасная практика безопасности по причинам, которые вы узнали.

Вот несколько примеров того, как основные программы в настоящее время справляются с этим:

дельта

Веб-сайт Delta требует имя пользователя и пароль для входа в систему.

Если вы забыли свой пароль, вам нужно ввести свое имя и адрес электронной почты, и они отправят ссылку, чтобы изменить ваш пароль на этот адрес электронной почты, поэтому для сброса необходимо иметь контроль над этой учетной записью электронной почты.

Если вы забыли свое имя пользователя или номер SkyMiles, снова введите свой адрес электронной почты и имя, и они отправят вам ваше имя по электронной почте.

юго-запад

Веб-сайт Southwest также требует имя пользователя и пароль для входа в систему.

Если вы забыли свой пароль, как, например, в Delta, вы вводите свой адрес электронной почты и имя, и они посылают вам по электронной почте ссылку для изменения пароля.

Если вы забыли свое имя пользователя / номер учетной записи, вам необходимо ввести свое имя, почтовый индекс и адрес электронной почты, а затем ответить на свои вопросы безопасности, прежде чем он сообщит вам ваше имя пользователя и номер учетной записи. Если у вас нет доступа к исходному адресу электронной почты, вы должны ввести свое имя, почтовый индекс, старый адрес электронной почты и номер учетной записи , чтобы изменить свой адрес электронной почты.

Временное решение

Вы говорите, что рассматриваемая программа - «большая рыба». Если он достаточно большой, чтобы стать частью одного из основных альянсов (OneWorld, Star Alliance или SkyTeam), и они не смогут быстро исправить безопасность своего аккаунта, вы можете подумать о присоединении к более безопасной программе FF от другого участника. из того же альянса и просто начните перечислять свои рейсы в эту программу. Большинство из них имеют взаимный заработок и вознаграждения, а также, по крайней мере, некоторую степень взаимных привилегий элиты с другими авиакомпаниями-членами этого же альянса.

— reirab
источник

Просто чтобы прояснить: мне нужен номер моей учетной записи и пароль для входа в систему. Но можно передать предметы, перечисленные по телефону, для использования миль или для повторения личных данных; или используйте их для изменения адреса электронной почты (не требуя подтверждения по старому адресу!), после чего учетная запись может быть узурпирована. Мои мили были истощены, и (поскольку я это заметил) мне удалось прервать попытку изменить электронную почту. Но единственная «безопасность», которую я сейчас имею, это использование вымышленного адреса улицы (согласно их предложению). Мои украденные мили не были зачислены.

— Оромэ

@raxacoricofallapatorius А, ты имел в виду по телефону. Я понял, что ваш вопрос означает, что это произошло через их сайт. Что касается телефона, Delta обычно узнает меня по номеру телефона, с которого я звоню. К сожалению, использовать социальную инженерию, чтобы заставить человека сделать что-то, может быть немного легче, чем победить технические меры. Это воняет о твоих милях. Учитывая, что они полностью виноваты в том, что ваш аккаунт был взломан, если они не согласятся быстро начислять мили, я бы согласился с рекомендациями общественности.

— Рейраб

Должно быть легко увидеть бронирование, которое было сделано с вашими милями, и откуда взять имя человека, который их использовал? Он должен показать удостоверение личности, когда он садится, поэтому это должно быть его настоящее имя. Я бы сказал, что полиции его просто достать, и это явно была кража .

— Аганью,

@Aganju Полагаю, они купили бы что-нибудь, кроме полетов на нем, но вы правы, если они забронировали билеты на него. По крайней мере, OP должен видеть, что они с ним сделали.

— Рейраб

@Aganju Способ, которым работает эта афера, заключается в том, что злоумышленник продает билет третьей стороне, которая неизбежно уходит и просто хочет найти выгодную сделку. Обычно деньги обмениваются какой-то не прослеживаемой и необратимой системой. Третья сторона, которая совершает рейс, либо не знает, что это мошенничество, либо не заинтересована; если вы арестуете его, будет трудно доказать, что он был соучастником незаконности. Атакующий движется быстро; у него есть свои деньги. Этот вид мошенничества на самом деле находится в списке приоритетов Интерпола. (Также не все рейсы по всему миру даже требуют удостоверения личности.)

— Calchas