フライヤーアカウントへのアクセスを頻繁に許可し、簡単に利用できる個人情報を提供することは一般的な方法ですか?

8

航空会社のマイレージプログラムで、一般に公開されている個人情報を使用してアカウントにアクセスできるようにすることは一般的ですか?

私が使用したフリークエントフライヤーマイルプログラムでは、(最も不幸な方法で)必要なのは

  • Eメール
  • 住所
  • 誕生日

マイルの利用、既存の旅程の表示と変更、保存されているパスポート番号などの機密個人情報へのアクセス(サイトがユーザーに「セキュリティ」のために送信することを奨励している)、さらには電子メールアドレスの変更(したがって、パスワードのリセットによる完全なアカウント乗っ取りのプロセスが開始されます)。

この緩いセキュリティは業界で一般的な習慣ですか?

online-resources  security  loyalty-programs 
オロメ
ソース
4
最も頻繁なフライヤーアカウントでは、パスポートまたはクレジットカードの詳細を更新できますが、それらを表示することはできません。したがって、誰かがあなたのアカウントにアクセスした場合、彼らはいくつかの新しい番号を入力することしかできません(FFコードが新しいカードが有効であることを確認してから保存するのではなくても、驚かないでしょう)。もちろん、古いアカウントに送信された確認用の電子メールなしで電子メールの変更を許可するかどうかを尋ねる必要がありますか?もしそうなら、プログラムに名前を付けて恥をかく。
2
@raxacoricofallapatoriusあなたはそれについてLoyaltyLobbyからジョンに尋ねることを試みることができます-彼は昨年と前年の忠誠プログラム違反の多くをカバーし、多くのプログラムの問題を報告するための連絡先を持っています
Gagravarr
3
他の人がアカウントを強化できるように、プログラムに名前を付けて恥をかく。
5
@raxacoricofallapatoriusは、私の経験では、公共の不正行為はセキュリティ担当者への丁寧なメールよりも10倍速く機能します
JonathanReez
2
@raxacoricofallapatoriusあなたが正当な懸念を抱いているのであれば、私は個人的にこれで何も問題がないと思います。会社のTwitterアカウントへの投稿は非常に効果的な場合があります。
RoflcoptrException

回答:

6

番号!これはまったく一般的ではありません。私が使用したすべてのFFプログラム(Delta、Southwest、Korea Airなど)はすべて、ログインにパスワードが必要です。これは珍しいだけでなく、あなたが見つけた理由から、それは絶対に恐ろしいセキュリティ慣行です。

現在、主要なプログラムがこれをどのように処理しているかの例をいくつか示します。

デルタ

DeltaのWebサイトでは、通常のログインにユーザー名とパスワードが必要です。

パスワードを忘れた場合は、名前と電子メールアドレスを入力する必要があります。彼らはパスワードをその電子メールアドレスに変更するためのリンクを送信するため、その電子メールアカウントを制御してリセットする必要があります。

ユーザー名またはスカイマイル番号を忘れた場合は、電子メールアドレスと名前を再度入力すると、ユーザー名が電子メールで送信されます。

南西

SouthwestのWebサイトでも、通常のログインにはユーザー名とパスワードが必要です。

Deltaのようにパスワードを忘れた場合は、電子メールアドレスと名前を入力すると、パスワードを変更するためのリンクが電子メールで送信されます。

ユーザー名/アカウント番号を忘れた場合は、名前、郵便番号、電子メールアドレスを入力し、セキュリティの質問答えてから、ユーザー名とアカウント番号を取得する必要があります。元の電子メールアドレスにアクセスできない場合は、電子メールを変更するために、名前、郵便番号、古い電子メールアドレス、およびアカウント番号を入力する必要があります。

回避策

問題のプログラムは「大きな魚」だとあなたは言う。メジャーアライアンス(OneWorld、スターアライアンス、またはスカイチーム)の一部となるのに十分な大きさで、アカウントのセキュリティがすぐに修正されない場合は、メンバーの別のメンバーからより安全なFFプログラムに参加することを検討してください。同じ同盟関係にあり、代わりにそのプログラムへのフライトのクレジットを開始します。それらのほとんどは相互マイレージの獲得と特典、および同じ提携の他のメンバー航空会社との少なくともある程度の相互エリート特典があります。

レイラブ
ソース
2
明確にするために、ログオンするにはアカウント番号とパスワードが必要です。しかし、電話でリストされたアイテムを提供して、マイルを使用したり、個人データを引用させたりすることができます。または、それらを使用して電子メールアドレスを変更し(古いアドレスでの確認を必要とせずに!)、その時点からアカウントを不正使用できます。私は自分のマイルを使い果たし、(気づいたので)電子メールを変更する試みを中断することができました。しかし、私が現在持っている唯一の「セキュリティ」は、(彼らの提案に従って)架空の住所を使用することです。盗まれたマイルは加算されません。
オロメ
3
@raxacoricofallapatoriusああ、あなたは電話で意味しました。あなたの質問は、これが彼らのウェブサイトを介して起こったことを意味すると理解しました。電話に関する限り、Deltaは通常、私が呼び出した電話番号によって私を認識します。残念ながら、ソーシャルエンジニアリングを使用して人間をだまして何かをさせようとすることは、技術的な手段を打ち負かすよりもかなり簡単です。それはあなたのマイルについて悪臭を放ちます。あなたのアカウントが侵害されたのは完全に彼らのせいだと考えて、彼らがすぐにマイルをクレジットすることに同意しない場合、私は公の恥ずべき勧告に同意しなければなりません。
reirab
マイルで行われた予約を簡単に確認でき、そこから、それらを使用した人の名前を取得できますか?搭乗時にidを表示する必要があるため、本名である必要があります。警察が彼を手に入れるのは簡単だと思います、そしてそれは明らかに盗難でした。
Aganju
@Aganju一緒にフライト以外のものを購入すると思いますが、彼らがそれを使ってフライトを予約した場合、あなたは正しいです。少なくとも、OPは彼らがそれを使って何をしたかを見ることができるはずです。
reirab
1
@Aganjuこの詐欺のしくみは、攻撃者がすぐに出発するサードパーティにフライトを販売し、かなりの額を見つけたいというものです。通常、お金は追跡不可能な不可逆的なシステムによって交換されます。飛行機に乗る第三者は、それが詐欺であることを知らないか、興味がないか、のどちらかです。あなたが彼を逮捕した場合、彼が違法行為の共犯者であることを証明することは困難です。攻撃者はすぐに進みます。彼はお金を持っています。この種のマイル詐欺は、実際にはInterpol優先リストに含まれています。(世界中のすべてのフライトがIDを必要とするわけでもありません。)
Calchas
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.