Có phải là thông lệ để cho phép truy cập tài khoản khách hàng thường xuyên với các chi tiết cá nhân dễ dàng có sẵn?

8

Là nó thực tế phổ biến cho hãng hàng không thường xuyên dặm chương trình tờ cho phép truy cập tài khoản sử dụng thông tin cá nhân công bố rộng rãi?

Tôi vừa mới phát hiện ra (theo cách đáng tiếc nhất) mà một dặm hàng thường xuyên chương trình tôi sử dụng chỉ yêu cầu

  • e-mail
  • địa chỉ đường phố
  • ngày sinh

để cung cấp cho truy cập tài khoản đầy đủ, bao gồm khả năng chuộc dặm, xem và thay đổi hành trình hiện có, tiếp cận thông tin cá nhân nhạy cảm như số hộ chiếu được lưu trữ (mà trang web khuyến khích người dùng phải nộp cho "an ninh của bạn") và thậm chí đến địa chỉ email thay đổi ( do đó bắt đầu quá trình tiếp quản tài khoản đầy đủ thông qua thiết lập lại mật khẩu).

Đây có phải là bảo mật lỏng lẻo là một thực tế phổ biến trong ngành công nghiệp?

online-resources  security  loyalty-programs 
orome
nguồn
4
Hầu hết các tài khoản khách hàng thường xuyên cho phép bạn cập nhật chi tiết hộ chiếu hoặc thẻ tín dụng, nhưng họ không cho phép bạn xem chúng. Vì vậy, nếu ai đó truy cập vào tài khoản của bạn, họ sẽ chỉ có thể nhập một số số mới (sẽ không làm tôi ngạc nhiên nếu mã FF không xác minh bất kỳ thẻ mới nào là hợp lệ trước khi lưu trữ nó). Tất nhiên người ta phải hỏi liệu họ có cho phép thay đổi email mà không có email xác thực được gửi đến tài khoản cũ không? Nếu vậy, sau đó đặt tên và xấu hổ chương trình.
2
@raxacoricofallapatorius Bạn có thể thử hỏi John từ LoyaltyLulk về điều đó - anh ấy đã bao gồm nhiều vi phạm chương trình khách hàng thân thiết vào năm ngoái và năm trước, và có liên hệ để báo cáo các vấn đề cho nhiều chương trình
Gagravarr
3
Đặt tên và xấu hổ cho chương trình, để những người khác có thể làm cứng tài khoản của họ.
5
@raxacoricofallapatorius theo kinh nghiệm của tôi, việc xấu hổ công khai hoạt động nhanh hơn gấp 10 lần so với một email lịch sự cho anh chàng bảo mật
JonathanReez
2
@raxacoricofallapatorius Cá nhân tôi thấy không có gì sai với điều này nếu bạn có một mối quan tâm hợp lệ. Đăng bài lên tài khoản twitter của công ty đôi khi rất hiệu quả.
RoflcoptrException

Câu trả lời:

6

Không! Điều này không phổ biến chút nào. Trong tất cả các chương trình FF tôi đã sử dụng (Delta, Tây Nam, Korean Air, v.v.) đều yêu cầu mật khẩu để đăng nhập. Không chỉ là không phổ biến, đây là một thực tiễn bảo mật hoàn toàn khủng khiếp vì những lý do bạn đã tìm ra.

Dưới đây là một vài ví dụ về cách các chương trình lớn hiện đang xử lý việc này:

Đồng bằng

Trang web của Delta yêu cầu tên người dùng và mật khẩu để đăng nhập bình thường.

Nếu bạn quên mật khẩu, bạn cần nhập tên và địa chỉ e-mail của bạn và họ gửi liên kết để thay đổi mật khẩu của bạn đến địa chỉ e-mail đó, do đó, cần phải kiểm soát tài khoản e-mail đó để đặt lại.

Nếu bạn quên tên người dùng hoặc số SkyMiles, bạn lại nhập địa chỉ e-mail và tên của bạn và họ sẽ gửi email tên người dùng của bạn cho bạn.

Tây nam

Trang web của Tây Nam cũng yêu cầu tên người dùng và mật khẩu để đăng nhập bình thường.

Nếu bạn quên mật khẩu, như với Delta, bạn nhập địa chỉ e-mail và tên của bạn và họ gửi e-mail cho bạn liên kết để thay đổi mật khẩu của bạn.

Nếu bạn quên tên người dùng / số tài khoản, bạn cần nhập tên, mã ZIP và địa chỉ email, sau đó trả lời các câu hỏi bảo mật của bạn trước khi nó cung cấp cho bạn tên người dùng và số tài khoản. Nếu bạn không có quyền truy cập vào địa chỉ e-mail ban đầu của mình, bạn phải nhập tên, mã ZIP, địa chỉ e-mail cũ và số tài khoản để thay đổi e-mail của bạn.

Giải pháp thay thế

Bạn nói rằng chương trình trong câu hỏi là một 'con cá lớn'. Nếu nó đủ lớn để trở thành một trong những liên minh lớn (OneWorld, Star Alliance hoặc SkyTeam) và họ sẽ không nhanh chóng khắc phục bảo mật tài khoản của mình, bạn có thể muốn xem xét tham gia chương trình FF an toàn hơn từ một thành viên khác của cùng một liên minh và thay vào đó hãy bắt đầu ghi có các chuyến bay của bạn vào chương trình đó. Hầu hết trong số họ có thu nhập và phần thưởng đối ứng, cũng như ít nhất một số mức độ lợi ích ưu tú đối ứng với các hãng hàng không thành viên khác trong cùng liên minh.

tái xuất
nguồn
2
Chỉ cần rõ ràng: tôi cần số tài khoản và mật khẩu của tôi để đăng nhập. Nhưng ai có thể cung cấp cho các mục được liệt kê qua điện thoại để dặm sử dụng hoặc có dữ liệu cá nhân đọc; hoặc sử dụng chúng để thay đổi địa chỉ email (không yêu cầu xác nhận tại địa chỉ cũ!) từ đó tài khoản có thể bị chiếm đoạt. Tôi có dặm của tôi để ráo nước và (kể từ khi tôi nhận thấy rằng) đã có thể để có được những nỗ lực để thay đổi e-mail bị gián đoạn. Nhưng "bảo mật" duy nhất tôi có bây giờ là việc sử dụng một địa chỉ đường phố được tạo ra (theo đề nghị của họ). Dặm của tôi bị đánh cắp đã không được ghi.
orome
3
@raxacoricofallapatorius À, ý bạn là qua điện thoại. Tôi hiểu câu hỏi của bạn có nghĩa là điều này đã xảy ra thông qua trang web của họ. Theo như điện thoại, Delta thường chỉ nhận ra tôi qua số điện thoại tôi gọi. Thật không may, sử dụng kỹ thuật xã hội để lừa con người làm một việc gì đó có thể dễ dàng hơn một chút so với việc đánh bại các biện pháp kỹ thuật. Đó stinks về dặm. Xem xét hoàn toàn lỗi của họ rằng tài khoản của bạn đã bị xâm phạm, nếu họ không đồng ý tín dụng sớm, tôi phải đồng ý với các khuyến nghị xấu hổ công khai.
thiệu lại vào
Nó sẽ được dễ dàng nhận thấy các phòng đã được thực hiện với số dặm, và từ đó lấy tên của người đó sử dụng chúng? Anh ta cần thể hiện id khi anh ta lên bảng, vì vậy đó phải là tên thật của anh ta. Tôi nói thật đơn giản để cảnh sát bắt được anh ta, và rõ ràng đó là hành vi trộm cắp .
Aganju
@Aganju Tôi đoán họ sẽ mua thứ gì đó ngoài các chuyến bay với nó, nhưng bạn đã đúng nếu họ đặt chuyến bay với nó. Ít nhất, OP sẽ có thể thấy những gì họ đã làm với nó.
thiệu lại vào
1
@Aganju Cách thức hoạt động của trò lừa đảo này là kẻ tấn công bán chuyến bay cho bên thứ ba sắp khởi hành và chỉ muốn tìm một thỏa thuận tốt. Thông thường tiền được trao đổi bởi một số hệ thống không thể truy cập và không thể đảo ngược. Bên thứ ba, người thực hiện chuyến bay, không biết đó là gian lận hoặc không quan tâm; nếu bạn bắt giữ anh ta, sẽ rất khó để chứng minh anh ta là đồng phạm của bất hợp pháp. Kẻ tấn công di chuyển nhanh chóng; anh ta có tiền Kiểu này dặm gian lận thực sự là nằm trong danh sách ưu tiên của Interpol. (Ngoài ra, không phải tất cả các chuyến bay trên toàn thế giới đều yêu cầu ID.)
Calchas
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.