Чи загальноприйнята практика дозволяти часто отримувати доступ до облікових записів з легкими доступними особистими даними?

8

Чи загальноприйнята програма повітряних ліній для часто пролітаючих авіакомпаній дозволяти доступ до облікових записів, використовуючи загальнодоступні особисті дані?

Я щойно виявив (найжахливішим способом), що потрібна лише програма, яка використовується для частого прольоту літаків

  • електронна пошта
  • Адреса вулиці
  • день народження

надати повний доступ до облікового запису, включаючи можливість викуповувати милі, переглядати та змінювати наявні маршрути, доступ до конфіденційної особистої інформації, наприклад, збережених номерів паспортів (які сайт заохочує користувачів подавати для "вашої безпеки") і навіть змінювати адресу електронної пошти ( таким чином ініціюючи процес повного поглинання облікового запису шляхом скидання пароля).

Чи є ця млява безпека поширеною практикою в галузі?

online-resources  security  loyalty-programs 
orome
джерело
4
Найчастіше облікові записи дозволяють оновлювати дані паспорта чи кредитної картки, але вони не дозволяють вам їх переглядати. Тож якщо хтось отримав доступ до вашого акаунта, він зможе ввести лише нові номери (не здивував би мене, якщо FF-код не перевірив, чи була нова карта перед її зберіганням). Звичайно, потрібно запитати, чи дозволяють вони змінювати електронну пошту без підтвердження електронної пошти, надісланої до старого облікового запису? Якщо так, то називайте і соромте програму.
2
@raxacoricofallapatorius Ви можете спробувати попросити Джона у LoyaltyLobby про це - він охопив багато порушень програми лояльності минулого та минулого року та має контакти, щоб повідомити про проблеми для багатьох програм
Gagravarr
3
Назвіть і соромте програму, щоб інші могли загартувати свої акаунти.
5
На моєму досвіді @raxacoricofallapatorius громадська ганьба працює в 10 разів швидше, ніж ввічливий лист до хлопця
JonathanReez
2
@raxacoricofallapatorius Я особисто не бачу в цьому нічого поганого, якщо ви маєте повагу. Опублікування на акаунті в твіттері компанії іноді дуже ефективно.
RoflcoptrException

Відповіді:

6

Ні! Це взагалі не часто. З усіх програм FF, які я використовував (Delta, Southwest, Korean Air тощо), для входу потрібен пароль. Мало того, що це нечасто, це абсолютно жахлива практика безпеки з причин, які ви з'ясували.

Ось кілька прикладів того, як основні програми в даний час справляються з цим:

Дельта

Для нормального входу на веб-сайт Delta потрібні ім’я користувача та пароль.

Якщо ви забули свій пароль, вам потрібно ввести своє ім’я та адресу електронної пошти, і вони надішлюють посилання, щоб змінити ваш пароль на цю адресу електронної пошти, тож для контролю над цим обліковим записом електронної пошти потрібно скинути його.

Якщо ви забули своє ім’я користувача або номер SkyMiles, ви знову введіть свою адресу електронної пошти та ім’я, і вони надішлють вам ваше ім'я користувача.

На південний захід

Веб-сайт Південного Заходу вимагає також імені користувача та пароля для нормального входу.

Якщо ви забули свій пароль, як, наприклад, у Delta, ви вводите свою адресу електронної пошти та ім’я, і вони надсилають вам посилання, щоб змінити ваш пароль.

Якщо ви забули своє ім’я користувача / номер облікового запису, вам потрібно ввести своє ім’я, поштовий індекс та адресу електронної пошти, а потім відповісти на питання безпеки, перш ніж він дасть вам своє ім’я користувача та номер облікового запису. Якщо у вас немає доступу до вихідної адреси електронної пошти, вам потрібно ввести своє ім’я, поштовий індекс, стару адресу електронної пошти та номер облікового запису , щоб змінити свою електронну пошту.

Обхід

Ви кажете, що програма, про яку йдеться, - «велика риба». Якщо він достатньо великий, щоб бути частиною одного з найбільших альянсів (OneWorld, Star Alliance або SkyTeam), і вони не швидко зафіксують захист свого облікового запису, можливо, ви захочете подумати про приєднання до більш захищеної програми FF від іншого з членів того ж союзу і просто почніть зараховувати замість ваших рейсів цю програму. Більшість із них мають взаємний заробіток на пробіг та нагороди, а також принаймні певний ступінь вигоди взаємної еліти з іншими авіакомпаніями-членами цього ж альянсу.

рейраб
джерело
2
Просто для того, щоб було зрозуміло: мені потрібен номер мого рахунку та пароль для входу. Але можна дати предметам, переліченим по телефону, користуватися милями або читати особисті дані; або скористайтеся ними, щоб змінити адресу електронної пошти (не вимагаючи підтвердження за старою адресою!), з якої можна буде узурпувати обліковий запис. У мене просочилися милі і (оскільки я це помітив) вдалося перервати спробу зміни електронної пошти. Але єдина "безпека", яку я маю зараз, - це використання створеної вуличної адреси (за їх пропозицією). Мої викрадені милі не зараховували.
orome
3
@raxacoricofallapatorius Ах, ти мав на увазі по телефону. Я зрозумів, що ваше запитання означає, що це сталося через їх веб-сайт. Що стосується телефону, Delta зазвичай мене просто розпізнає за номером телефону, з якого я дзвоню. На жаль, використовувати соціальну інженерію для того, щоб обдурити людину робити щось може бути дещо простіше, ніж перемогти технічні заходи. Це смердить на ваші милі. Вважаючи, що вони повністю винні в тому, що ваш рахунок був порушений, якщо вони незабаром не погоджуються кредитувати милі, мені доведеться погодитися з рекомендаціями громадськості.
reirab
Потрібно легко побачити бронювання, яке було зроблено з вашими милями, і звідки дістати ім’я людини, яка їх використовувала? Йому потрібно показати ідентифікатор, коли він працює, тому це має бути його справжнє ім'я. Я б сказав, що поліція його просто забирає, і це, очевидно, було крадіжкою .
серпня 1616 року
@Aganju Я б здогадувався, що вони куплять щось інше, ніж рейси з ним, але ти маєш рацію, якщо вони забронювали рейси саме ним. Принаймні, ОП повинні мати можливість бачити, що вони зробили з цим.
reirab
1
@Aganju Це, як працює ця афера, полягає в тому, що зловмисник продає рейс третій стороні, яка негайно від'їжджає і просто хоче знайти хорошу угоду. Зазвичай гроші обмінюються якоюсь незбачуваною та незворотною системою. Третя сторона, яка здійснює рейс, або не знає, що це шахрайство, або не зацікавлена; якщо ти заарештуєш його, буде важко довести, що він був співучасником незаконності. Зловмисник швидко рухається далі; у нього є свої гроші. Цей вид шахрайства за милі є фактично у списку пріоритетів Інтерполу. (Також не всі рейси по всьому світу навіть вимагають посвідчення особи.)
Calchas
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.