Apakah itu praktik umum untuk memungkinkan akses akun frequent flyer dengan informasi pribadi yang mudah didapat?

8

Apakah praktik umum untuk program frequent flyer miles maskapai untuk memungkinkan akses akun menggunakan detail pribadi yang tersedia untuk umum?

Saya baru saja menemukan (dengan cara yang paling disayangkan) bahwa program frequent flyer miles yang saya gunakan hanya membutuhkan

  • surel
  • alamat jalan
  • tanggal lahir

untuk memberikan akses akun penuh, termasuk kemampuan untuk menebus mil, melihat dan mengubah rencana perjalanan yang ada, akses ke informasi pribadi yang sensitif seperti nomor paspor yang disimpan (yang situs mendorong pengguna untuk mengirimkan "keamanan Anda") dan bahkan untuk mengubah alamat email ( sehingga memulai proses pengambilalihan akun penuh melalui reset kata sandi)

Apakah keamanan longgar ini merupakan praktik umum di industri?

online-resources security loyalty-programs orome
sumber
4
Kebanyakan akun flyer memungkinkan Anda memperbarui paspor atau detail kartu kredit Anda, tetapi mereka tidak memperbolehkan Anda untuk melihatnya. Jadi, jika seseorang mengakses akun Anda, mereka hanya dapat memasukkan beberapa nomor baru (tidak akan mengejutkan saya jika kode FF tidak memverifikasi kartu baru yang valid sebelum menyimpannya). Tentu saja kita harus bertanya apakah mereka mengizinkan perubahan email tanpa email verifikasi dikirim ke akun lama? Jika demikian, beri nama dan malu program tersebut.
2
@raxacoricofallapatorius Anda dapat mencoba bertanya kepada John dari LoyaltyLobby tentang hal itu - ia membahas banyak pelanggaran program loyalitas tahun lalu dan tahun sebelumnya, dan memiliki kontak untuk melaporkan berbagai masalah untuk banyak program
Gagravarr
3
Beri nama dan malu programnya, sehingga orang lain dapat mengeraskan akun mereka.
5
@raxacoricofallapatorius dalam pengalaman saya, mempermalukan publik bekerja 10x lebih cepat daripada email sopan kepada petugas keamanan
JonathanReez
2
@raxacoricofallapatorius Saya pribadi tidak melihat ada yang salah dengan ini jika Anda memiliki masalah yang valid. Posting ke akun twitter perusahaan terkadang sangat efektif.
RoflcoptrException

Jawaban:

6

Tidak! Ini tidak umum sama sekali. Dari semua program FF yang saya gunakan (Delta, Barat Daya, Korean Air, dll.) Semuanya memerlukan kata sandi untuk login. Tidak hanya ini biasa, ini merupakan praktik keamanan yang benar-benar mengerikan karena alasan yang Anda ketahui.

Berikut adalah beberapa contoh bagaimana program utama saat ini menangani ini:

Delta

Situs web Delta membutuhkan nama pengguna dan kata sandi untuk masuk secara normal.

Jika Anda lupa kata sandi, Anda harus memasukkan nama dan alamat email Anda dan mereka mengirim tautan untuk mengubah kata sandi Anda ke alamat email itu, sehingga memiliki kendali atas akun email itu diperlukan untuk mengatur ulang.

Jika Anda lupa nama pengguna atau nomor SkyMiles, Anda kembali memasukkan alamat dan nama email Anda dan mereka akan mengirim email nama pengguna Anda kepada Anda.

Barat daya

Situs web Southwest juga memerlukan nama pengguna dan kata sandi untuk masuk secara normal.

Jika Anda lupa kata sandi, seperti dengan Delta, Anda memasukkan alamat dan nama email Anda dan mereka mengirimi Anda email tautan untuk mengubah kata sandi Anda.

Jika Anda lupa nama pengguna / nomor akun, Anda harus memasukkan nama, kode ZIP, dan alamat email Anda, lalu jawab pertanyaan keamanan Anda sebelum memberikan nama pengguna dan nomor akun Anda. Jika Anda tidak memiliki akses ke alamat email asli Anda, Anda harus memasukkan nama Anda, kode ZIP, alamat email lama, dan nomor akun untuk mengubah email Anda.

Penanganan masalah

Anda mengatakan bahwa program yang dimaksud adalah 'ikan besar'. Jika cukup besar untuk menjadi bagian dari aliansi utama (OneWorld, Star Alliance, atau SkyTeam) dan mereka tidak akan dengan cepat memperbaiki keamanan akun mereka, Anda mungkin ingin mempertimbangkan untuk bergabung dengan program FF yang lebih aman dari salah satu anggota lainnya. dari aliansi yang sama dan mulai mengkreditkan penerbangan Anda ke program itu. Sebagian besar dari mereka memiliki jarak tempuh timbal balik dan penghargaan, serta setidaknya beberapa tingkat keuntungan timbal balik elit dengan maskapai anggota lain dari aliansi yang sama.

reirab
sumber
2
Untuk lebih jelasnya: Saya perlu nomor akun dan kata sandi saya untuk masuk. Tetapi orang dapat memberikan barang-barang yang terdaftar di telepon untuk menggunakan miles atau membaca data pribadi; atau menggunakannya untuk mengubah alamat email (tanpa memerlukan konfirmasi di alamat lama!) dari mana akun dapat diambil. Mil saya terkuras dan (karena saya perhatikan) bisa mendapatkan upaya untuk mengubah e-mail yang terputus. Tetapi satu-satunya "keamanan" yang saya miliki sekarang adalah penggunaan alamat jalan yang dibuat-buat (sesuai saran mereka). Mil curian saya belum dikreditkan.
orome
3
@raxacoricofallapatorius Ah, maksudmu lewat telepon. Saya memahami pertanyaan Anda bahwa ini terjadi melalui situs web mereka. Sejauh menyangkut telepon, Delta biasanya hanya mengenali saya dengan nomor telepon yang saya hubungi. Sayangnya, menggunakan rekayasa sosial untuk menipu manusia agar melakukan sesuatu bisa sedikit lebih mudah daripada mengalahkan langkah-langkah teknis. Itu bau tentang mil Anda. Mempertimbangkan sepenuhnya kesalahan mereka bahwa akun Anda disusupi, jika mereka tidak setuju untuk mengkredit mil segera, saya harus setuju dengan rekomendasi mempermalukan publik.
reirab
Seharusnya mudah untuk melihat reservasi yang dibuat dengan miles Anda, dan dari sana mendapatkan nama orang yang menggunakannya? Dia harus menunjukkan id ketika dia naik, jadi itu harus nama aslinya. Saya katakan sederhana bagi polisi untuk mendapatkannya, dan itu jelas-jelas pencurian .
Aganju
@ Agganju saya kira mereka akan membeli sesuatu selain penerbangan dengan itu, tapi Anda benar jika mereka memesan penerbangan dengan itu. Paling tidak, OP harus dapat melihat apa yang mereka lakukan dengannya.
reirab
1
@ Agganju Cara penipuan ini bekerja adalah bahwa penyerang menjual penerbangan ke pihak ketiga yang akan segera berangkat dan hanya ingin menemukan tawaran bagus. Biasanya uang dipertukarkan oleh beberapa sistem yang tidak bisa dilacak dan tidak dapat dikembalikan. Pihak ketiga, yang mengambil penerbangan, tidak tahu itu penipuan atau tidak tertarik; jika Anda menangkapnya, akan sulit untuk membuktikan bahwa ia adalah kaki tangan ilegal tersebut. Penyerang bergerak dengan cepat; dia memiliki uangnya. Penipuan bermil-mil semacam ini sebenarnya ada dalam daftar prioritas Interpol. (Juga tidak semua penerbangan di seluruh dunia bahkan memerlukan ID.)
Calchas