É prática comum permitir acesso à conta de passageiro frequente com detalhes pessoais facilmente disponíveis?

8

É prática comum para programas de milhas de passageiro frequente de companhias aéreas permitir o acesso à conta usando dados pessoais disponíveis ao público?

Acabei de descobrir (da maneira mais lamentável) que um programa de milhas de passageiro frequente que eu uso requer apenas

  • o email
  • Endereço
  • data de nascimento

para fornecer acesso total à conta, incluindo a capacidade de resgatar milhas, visualizar e alterar itinerários existentes, acesso a informações pessoais confidenciais, como números de passaporte armazenados (que o site incentiva os usuários a enviar para "sua segurança") e até mesmo alterar o endereço de e-mail ( iniciando assim o processo de aquisição total da conta através da redefinição de senha).

Essa segurança negligente é uma prática comum no setor?

online-resources security loyalty-programs orome
fonte
4
As contas de passageiro mais frequente permitem que você atualize os detalhes do seu passaporte ou cartão de crédito, mas eles não permitem que você os veja. Portanto, se alguém acessasse sua conta, ele seria capaz de inserir apenas alguns novos números (não me surpreenderia se o código FF não verificava se nenhum novo cartão era válido antes de armazená-lo). É claro que é preciso perguntar se eles permitem alterações de e-mail sem que um e-mail de verificação seja enviado para a conta antiga? Nesse caso, nomeie e envergonhe o programa.
2
@raxacoricofallapatorius Você poderia tentar pedir John de LoyaltyLobby sobre isso - ele cobriu muitas das violações do programa de fidelidade no ano passado e no ano anterior, e tem contatos para problemas de relatório para muitos programas
Gagravarr
3
Nomeie e envergonhe o programa, para que outras pessoas possam endurecer suas contas.
5
@raxacoricofallapatorius, na minha experiência, a vergonha pública funciona 10 vezes mais rápido que um email educado para o responsável pela segurança
JonathanReez
2
@raxacoricofallapatorius Pessoalmente, não vejo nada de errado nisso, se você tiver uma preocupação válida. Postar na conta do twitter de uma empresa às vezes é muito eficaz.
RoflcoptrException

Respostas:

6

Não! Isso não é nada comum. De todos os programas FF que usei (Delta, Southwest, Korean Air etc.), todos exigem uma senha para fazer login. Isso não é apenas incomum, é uma prática de segurança absolutamente horrível pelas razões que você descobriu.

Aqui estão alguns exemplos de como os principais programas atualmente lidam com isso:

Delta

O site da Delta requer um nome de usuário e uma senha para efetuar o login normalmente.

Se você esqueceu sua senha, é necessário digitar seu nome e endereço de e-mail e eles enviam o link para alterar sua senha para esse endereço de e-mail. Portanto, é necessário redefinir o controle dessa conta de e-mail.

Se você esqueceu seu nome de usuário ou número do SkyMiles, insira novamente seu endereço de e-mail e nome e eles enviarão o seu nome de usuário por e-mail.

Sudoeste

O site da Southwest também requer um nome de usuário e uma senha para fazer o login normalmente.

Se você esqueceu sua senha, como na Delta, insira seu endereço de e-mail e nome, e eles enviam um e-mail com o link para alterar sua senha.

Se você esqueceu seu nome de usuário / número de conta, é necessário inserir seu nome, CEP e endereço de e-mail e responder às suas perguntas de segurança antes que ele forneça seu nome de usuário e número de conta. Se você não tiver acesso ao seu endereço de e-mail original, precisará digitar seu nome, CEP, endereço de e-mail antigo e número da conta para alterar seu e-mail.

Gambiarra

Você diz que o programa em questão é um 'peixe grande'. Se for grande o suficiente para fazer parte de uma das principais alianças (OneWorld, Star Alliance ou SkyTeam) e elas não consertarem rapidamente a segurança da conta, convém aderir a um programa FF mais seguro de outro membro da mesma aliança e comece a creditar seus voos para esse programa. A maioria deles possui ganhos e prêmios recíprocos de milhagem, além de pelo menos algum grau de benefícios recíprocos de elite com outras companhias aéreas membros da mesma aliança.

reirab
fonte
2
Só para esclarecer: preciso do meu número de conta e senha para fazer logon. Mas pode-se fornecer os itens listados por telefone para usar milhas ou recitar dados pessoais; ou use-os para alterar o endereço de e-mail (sem exigir confirmação no endereço antigo!), a partir do qual a conta pode ser usurpada. Eu tive minhas milhas esgotadas e (desde que notei isso) consegui alterar a tentativa de alterar o e-mail. Mas a única "segurança" que tenho agora é o uso de um endereço de rua inventado (por sugestão deles). Minhas milhas roubadas não foram creditadas.
Orome 07/04
3
@raxacoricofallapatorius Ah, você quis dizer por telefone. Entendi que sua pergunta significava que isso havia acontecido através do site deles. No que diz respeito ao telefone, a Delta normalmente apenas me reconhece pelo número de telefone do qual ligo. Infelizmente, usar a engenharia social para induzir um ser humano a fazer algo pode ser um pouco mais fácil do que derrotar medidas técnicas. Isso fede sobre suas milhas. Considerando que é totalmente culpa deles que sua conta tenha sido comprometida, se eles não concordarem em creditar as milhas em breve, eu teria que concordar com as recomendações públicas de vergonha.
amigos estão dizendo sobre reirab
Deveria ser fácil ver a reserva feita com suas milhas e, a partir daí, obter o nome da pessoa que as usou? Ele precisa mostrar sua identidade quando embarcar, por isso deve ser o nome verdadeiro dele. Eu diria que é simples para a polícia pegá-lo, e claramente foi roubo .
Aganju
@Aganju Eu acho que eles comprariam algo além de voos com ele, mas você está certo se eles reservassem voos com ele. No mínimo, o OP deve poder ver o que eles fizeram com ele.
precisa
11
@Aganju A maneira como esse golpe funciona é que o atacante vende um voo para terceiros que partem iminentemente e só querem encontrar um bom acordo. Normalmente, o dinheiro é trocado por algum sistema não rastreável e irreversível. O terceiro, que embarca no voo, não sabe que é fraude ou não está interessado; se você prendê-lo, será difícil provar que ele era um cúmplice da ilegalidade. O atacante segue rapidamente; ele tem o dinheiro dele. Esse tipo de fraude de milhas está na lista de prioridades da Interpol. (Também não todos os voos em todo o mundo ainda necessitam de identificação.)
Calchas