Est-il courant d’autoriser l’accès au compte pour grands voyageurs avec des informations personnelles facilement disponibles?

8

Est-il courant que les programmes de miles de fidélité des compagnies aériennes autorisent l'accès au compte à l'aide de données personnelles accessibles au public?

Je viens de découvrir (de la manière la plus malheureuse) qu'un programme de miles pour grands voyageurs que j'utilise ne nécessite

  • email
  • adresse de rue
  • date de naissance

pour donner un accès complet au compte, y compris la possibilité d'échanger des miles, d'afficher et de modifier les itinéraires existants, d'accéder à des informations personnelles sensibles telles que les numéros de passeport stockés (que le site encourage les utilisateurs à soumettre pour "votre sécurité") et même de changer d'adresse e-mail ( initiant ainsi le processus de prise de contrôle complète du compte par la réinitialisation du mot de passe).

Cette sécurité laxiste est-elle une pratique courante dans l'industrie?

online-resources security loyalty-programs orome
la source
4
La plupart des comptes de fidélisation vous permettent de mettre à jour les détails de votre passeport ou de votre carte de crédit, mais ils ne vous permettent pas de les consulter. Donc, si quelqu'un accède à votre compte, il ne pourra entrer que de nouveaux numéros (ne me surprendrait pas si le code FF ne vérifiait pas qu'une nouvelle carte était valide avant de la stocker). Bien sûr, il faut se demander s'ils autorisent les modifications par e-mail sans qu'un e-mail de vérification soit envoyé à l'ancien compte? Si c'est le cas, nommez et faites honte au programme.
2
@raxacoricofallapatorius Vous pouvez essayer de demander à John de LoyaltyLobby à ce sujet - il a couvert de nombreuses violations du programme de fidélité l'année dernière et l'année précédente, et a des contacts pour signaler des problèmes pour de nombreux programmes
Gagravarr
3
Nommez et faites honte au programme, afin que d'autres puissent durcir leurs comptes.
5
@raxacoricofallapatorius d'après mon expérience, la honte publique fonctionne 10 fois plus vite qu'un e-mail poli adressé au responsable de la sécurité
JonathanReez
2
@raxacoricofallapatorius Personnellement, je ne vois rien de mal à cela si vous avez une préoccupation valable. La publication sur le compte Twitter d'une entreprise est parfois très efficace.
RoflcoptrException

Réponses:

6

Non! Ce n'est pas du tout courant. De tous les programmes FF que j'ai utilisés (Delta, Southwest, Korean Air, etc.), tous nécessitent un mot de passe pour se connecter. Non seulement c'est rare, mais c'est une pratique de sécurité absolument horrible pour les raisons que vous avez découvertes.

Voici quelques exemples de la façon dont les principaux programmes gèrent actuellement cela:

Delta

Le site Web de Delta nécessite un nom d'utilisateur et un mot de passe pour se connecter normalement.

Si vous avez oublié votre mot de passe, vous devez entrer votre nom et votre adresse e-mail et ils envoient le lien pour changer votre mot de passe à cette adresse e-mail, donc avoir le contrôle de ce compte e-mail est nécessaire pour réinitialiser.

Si vous avez oublié votre nom d'utilisateur ou votre numéro SkyMiles, vous entrez à nouveau votre adresse e-mail et votre nom et ils vous enverront votre nom d'utilisateur par e-mail.

Sud-ouest

Le site Web de Southwest requiert également un nom d'utilisateur et un mot de passe pour se connecter normalement.

Si vous avez oublié votre mot de passe, comme avec Delta, vous entrez votre adresse e-mail et votre nom et ils vous envoient le lien pour changer votre mot de passe.

Si vous avez oublié votre nom d'utilisateur / numéro de compte, vous devez entrer votre nom, votre code postal et votre adresse e-mail, puis répondre à vos questions de sécurité avant qu'il ne vous donne votre nom d'utilisateur et votre numéro de compte. Si vous n'avez pas accès à votre adresse e-mail d'origine, vous devez saisir votre nom, votre code postal, votre ancienne adresse e-mail et votre numéro de compte afin de modifier votre adresse e-mail.

solution de contournement

Vous dites que le programme en question est un «gros poisson». S'il est suffisamment grand pour faire partie de l'une des principales alliances (OneWorld, Star Alliance ou SkyTeam) et qu'il ne résoudra pas rapidement la sécurité de son compte, vous voudrez peut-être envisager de rejoindre un programme FF plus sécurisé à partir d'un autre membre. de la même alliance et commencez simplement à créditer vos vols sur ce programme. La plupart d'entre eux ont des miles et des récompenses réciproques, ainsi qu'au moins un certain nombre d'avantages réciproques d'élite avec d'autres compagnies aériennes membres de la même alliance.

reirab
la source
2
Pour être clair: j'ai besoin de mon numéro de compte et de mon mot de passe pour me connecter. Mais on peut donner les éléments répertoriés par téléphone pour utiliser des miles ou faire réciter des données personnelles; ou utilisez-les pour changer l'adresse e-mail (sans demander de confirmation à l'ancienne adresse!) à partir de laquelle le compte peut être usurpé. J'ai eu mes kilomètres épuisés et (depuis que je l'ai remarqué), j'ai pu interrompre la tentative de modification du courrier électronique. Mais la seule "sécurité" que j'ai maintenant est l'utilisation d'une adresse de rue inventée (selon leur suggestion). Mes miles volés n'ont pas été crédités.
orome
3
@raxacoricofallapatorius Ah, tu voulais dire par téléphone. J'ai compris que votre question signifiait que cela s'était produit via leur site Web. En ce qui concerne le téléphone, Delta ne me reconnaît normalement que par le numéro de téléphone à partir duquel j'appelle. Malheureusement, utiliser l'ingénierie sociale pour inciter un humain à faire quelque chose peut être beaucoup plus facile que de vaincre des mesures techniques. Cela pue vos miles. Étant donné que c'est entièrement de leur faute si votre compte a été compromis, s'ils n'acceptent pas de créditer les miles rapidement, je serais d'accord avec les recommandations de honte du public.
reirab
Il devrait être facile de voir la réservation qui a été faite avec vos miles, et de là obtenir le nom de la personne qui les a utilisés? Il doit montrer son identité quand il monte à bord, donc ce doit être son vrai nom. Je dirais que c'est simple pour la police de le récupérer, et c'était clairement du vol .
Aganju
@Aganju Je suppose qu'ils achèteraient autre chose que des vols avec, mais vous avez raison s'ils ont réservé des vols avec. À tout le moins, OP devrait être en mesure de voir ce qu'ils en ont fait.
reirab
1
@Aganju La façon dont cette arnaque fonctionne est que l'attaquant vend un vol à un tiers qui part imminemment et veut juste trouver une bonne affaire. Habituellement, l'argent est échangé par un système introuvable et irréversible. Le tiers, qui prend le vol, ne sait pas qu'il s'agit d'une fraude ou n'est pas intéressé; si vous l'arrêtez, il sera difficile de prouver qu'il était complice de l'illégalité. L'attaquant avance rapidement; il a son argent. Ce type de fraude de miles est en fait sur la liste des priorités d'Interpol. (De plus, tous les vols dans le monde ne nécessitent même pas de pièce d'identité.)
Calchas