¿Es una práctica común permitir el acceso a la cuenta de viajero frecuente con datos personales fácilmente disponibles?

8

¿Es una práctica común que los programas de millas de viajero frecuente de la aerolínea permitan el acceso a la cuenta utilizando datos personales disponibles públicamente?

Acabo de descubrir (de la manera más desafortunada) que un programa de millas de viajero frecuente que uso solo requiere

  • correo electrónico
  • Dirección
  • Fecha de nacimiento

para dar acceso completo a la cuenta, incluida la capacidad de canjear millas, ver y cambiar itinerarios existentes, acceso a información personal confidencial como números de pasaporte almacenados (que el sitio alienta a los usuarios a enviar para "su seguridad") e incluso cambiar la dirección de correo electrónico ( iniciando así el proceso de adquisición de cuenta completa a través del restablecimiento de contraseña).

¿Es esta seguridad laxa una práctica común en la industria?

online-resources security loyalty-programs orome
fuente
44
Las cuentas de viajero más frecuente le permiten actualizar los detalles de su pasaporte o tarjeta de crédito, pero no le permiten verlos. Entonces, si alguien accedió a su cuenta, solo podría ingresar algunos números nuevos (no me sorprendería si el código FF no verificara que ninguna tarjeta nueva fuera válida antes de almacenarla). Por supuesto, uno tiene que preguntar ¿permiten cambios de correo electrónico sin un correo electrónico de verificación enviado a la cuenta anterior? Si es así, entonces nombra y avergüenza el programa.
2
@raxacoricofallapatorius Podría intentar preguntarle a John de LoyaltyLobby al respecto : cubrió muchas de las infracciones del programa de lealtad el año pasado y el año anterior, y tiene contactos para informar problemas para muchos programas
Gagravarr
3
Nombra y avergüenza el programa, para que otros puedan fortalecer sus cuentas.
55
@raxacoricofallapatorius en mi experiencia, la vergüenza pública funciona 10 veces más rápido que un correo electrónico educado al tipo de seguridad
JonathanReez
2
@raxacoricofallapatorius Personalmente no veo nada de malo en esto si tiene una inquietud válida. Publicar en la cuenta de Twitter de una empresa a veces es muy efectivo.
RoflcoptrException

Respuestas:

6

¡No! Esto no es común en absoluto. De todos los programas de FF que he usado (Delta, Southwest, Korean Air, etc.) todos requieren una contraseña para iniciar sesión. No solo es poco común, es una práctica de seguridad absolutamente horrible por las razones que has descubierto.

Aquí hay un par de ejemplos de cómo los principales programas manejan esto actualmente:

Delta

El sitio web de Delta requiere un nombre de usuario y contraseña para iniciar sesión normalmente.

Si olvidó su contraseña, debe ingresar su nombre y dirección de correo electrónico y ellos le enviarán el enlace para cambiar su contraseña a esa dirección de correo electrónico, por lo que es necesario tener el control de esa cuenta de correo electrónico para restablecer.

Si olvidó su nombre de usuario o número de SkyMiles, ingrese nuevamente su dirección y nombre de correo electrónico y ellos le enviarán su nombre de usuario.

Sur oeste

El sitio web de Southwest también requiere un nombre de usuario y contraseña para iniciar sesión normalmente.

Si ha olvidado su contraseña, como con Delta, ingrese su dirección de correo electrónico y su nombre, y ellos le enviarán un correo electrónico con el enlace para cambiar su contraseña.

Si olvidó su nombre de usuario / número de cuenta, debe ingresar su nombre, código postal y dirección de correo electrónico, y luego responder sus preguntas de seguridad antes de que le proporcione su nombre de usuario y número de cuenta. Si no tiene acceso a su dirección de correo electrónico original, debe ingresar su nombre, código postal, dirección de correo electrónico anterior y número de cuenta para cambiar su correo electrónico.

Solución alterna

Usted dice que el programa en cuestión es un "pez gordo". Si es lo suficientemente grande como para formar parte de una de las principales alianzas (OneWorld, Star Alliance o SkyTeam) y no solucionarán rápidamente la seguridad de su cuenta, puede considerar unirse a un programa FF más seguro de otro de los miembros de la misma alianza y simplemente comienza a acreditar tus vuelos a ese programa. La mayoría de ellos tienen ganancias y premios de millas recíprocas, así como al menos cierto grado de beneficios recíprocos de élite con otras aerolíneas miembros de la misma alianza.

reirab
fuente
2
Para ser claros: necesito mi número de cuenta y contraseña para iniciar sesión. Pero uno puede dar los artículos enumerados por teléfono para usar millas o recitar datos personales; o úselos para cambiar la dirección de correo electrónico (¡sin requerir confirmación en la dirección anterior!) desde ese punto la cuenta puede ser usurpada. Tenía mis millas agotadas y (desde que me di cuenta de eso) pude interrumpir el intento de cambiar el correo electrónico. Pero la única "seguridad" que tengo ahora es el uso de una dirección inventada (según su sugerencia). Mis millas robadas no han sido acreditadas.
orome
3
@raxacoricofallapatorius Ah, querías decir por teléfono. Entendí que su pregunta significaba que esto había sucedido a través de su sitio web. En lo que respecta al teléfono, Delta normalmente solo me reconoce por el número de teléfono desde el que llamo. Desafortunadamente, usar la ingeniería social para engañar a un humano para que haga algo puede ser un poco más fácil que derrotar las medidas técnicas. Eso apesta a tus millas. Teniendo en cuenta que es completamente su culpa que su cuenta se haya visto comprometida, si no aceptan acreditar las millas pronto, tendré que estar de acuerdo con las recomendaciones de vergüenza pública.
reirab
Debería ser fácil ver la reserva que se hizo con sus millas y, a partir de ahí, obtener el nombre de la persona que las utilizó. Necesita mostrar identificación cuando sube, por lo que debe ser su nombre real. Diría que es simple para la policía atraparlo, y claramente fue un robo .
Aganju
@Aganju Supongo que comprarían algo más que vuelos con él, pero tienes razón si reservaron vuelos con él. Por lo menos, OP debería poder ver lo que hicieron con él.
reirab
1
@Aganju La forma en que funciona esta estafa es que el atacante vende un vuelo a un tercero que se va inminentemente y solo quiere encontrar un buen negocio. Por lo general, el dinero se intercambia por un sistema imposible de rastrear e irreversible. El tercero, que toma el vuelo, no sabe que es fraude o no está interesado; Si lo arrestas, será difícil demostrar que fue cómplice de la ilegalidad. El atacante avanza rápidamente; Él tiene su dinero. Este tipo de fraude de millas está realmente en la lista de prioridades de Interpol. (Además, no todos los vuelos en todo el mundo requieren identificación).
Calchas