ANZEIGE
Harz IV reicht aber in vielen Laendern wie z.B Indien aus, um ein "sehr" gutes Leben zu fuehren.
Diese Leute sitzen meist nicht in reichen Industrielaendern.
LH-M&M-Prämienmeilen gestohlen
- Starter*in JZea
- Datum Start
ANZEIGE
Harz IV reicht aber in vielen Laendern wie z.B Indien aus, um ein "sehr" gutes Leben zu fuehren.
Diese Leute sitzen meist nicht in reichen Industrielaendern.
Hallo zusammen,
auch mir wurde leider mein Meilenkonto leergeräumt.
Bei der Googlesuche nach ähnlichen Fällen bin ich hier auf den Thread gestoßen und dachte ich melde mich mal an und schildere den Fall mal hier:
Aber der Reihe nach:
Am 01.11. erhielt ich eine (englische) eMail von M&M mit dem Titel "Your Miles & More profile: your mobile phone has just been changed"
Zunächst dachte ich es handelt sich dabei um einen Fehler, habe jedoch trotzdem mal in meinem Konto nachgeschaut und tatsächlich, sowohl die Mobilnummer wurde geändert (+1xxxx) also auch die eMail Adresse war eine andere (xxx@online.com). Mehr konnte ich zu diesem Zeitpunkt noch nicht feststellen, die Meilen waren zumindest noch da. Natürlich habe ich trotzdem direkt (wie in der eMail empfohlen) bei der Hotline angerufen. Da ich dabei am PC war nochmal ein Reload meines Profils gemacht und zack: Drei Buchungen mit dem Titel "Miles&More Giftcards #191101-XXXXXX" über 9900, 9200 und 4500 Meilen.
Das Telefonat mit der Hotline war leider nicht sehr hilfreich, hier wurde mir nur gesagt Passwort und PIN ändern (hatte ich schon gemacht) und wurde ansonste nur an das Kontaktformular auf der Webseite verwiesen, dort den Fall schildern und eine Ausweiskopie mitsenden, ich würde dann die Meile wiederbekommen. Dies habe ich dann sofort gemacht aber leider bis Heute keine Rückmeldung bekommen.
Am 6.11. erhielt ich dann eine (automatisiert geschickte) eMail von der "Fraudprevention", das dem System verdächtige Aktivitäten und anschließend Bestellungen von Gutscheinen aufgefallen ist. Mein Meilenkonto wurde ab diesem Zeitpunkt gesperrt und ich solle bestätigen, das die Bestellungen von mir waren nebst Ausweiskopie. Also hier auch wieder den Fall geschildert aber auch wieder bis heute keinerlei Rückmeldung erhalten.
Mein Meilenkonto selbst war wenige Tage später wieder freigeschaltet und auch meine Mobilnummer und eMail ist jetzt wieder meine. Ich selbst konnte die Daten nicht ändern, wegen 2Faktor, ich frage mich jedoch wie der Besteller der Gutscheine diese Daten einfach ändern konnte, genauso wie er in das Konto gekommen ist (einmaliges, 16-Zeichen Passwort, Sonderzeichen usw.)
Die Meilen habe ich ehrlich gesagt abgeschrieben, es war ja auch immerhin nicht allzu viel. Aber trotzdem ärgerlich, besonders weil zwischen Abbuchen der Meilen und meinem Anruf nur wenige Minuten vergangen sind. Hier hätte ich naiverweise gedacht man könnte die Bestellung noch stornieren o.ä.
Ich wollte trotzdem hier den Fall schildern und wünsche euch einen schönen Sonntagabend.
auch mir wurde leider mein Meilenkonto leergeräumt.
Bei der Googlesuche nach ähnlichen Fällen bin ich hier auf den Thread gestoßen und dachte ich melde mich mal an und schildere den Fall mal hier:
Aber der Reihe nach:
Am 01.11. erhielt ich eine (englische) eMail von M&M mit dem Titel "Your Miles & More profile: your mobile phone has just been changed"
Zunächst dachte ich es handelt sich dabei um einen Fehler, habe jedoch trotzdem mal in meinem Konto nachgeschaut und tatsächlich, sowohl die Mobilnummer wurde geändert (+1xxxx) also auch die eMail Adresse war eine andere (xxx@online.com). Mehr konnte ich zu diesem Zeitpunkt noch nicht feststellen, die Meilen waren zumindest noch da. Natürlich habe ich trotzdem direkt (wie in der eMail empfohlen) bei der Hotline angerufen. Da ich dabei am PC war nochmal ein Reload meines Profils gemacht und zack: Drei Buchungen mit dem Titel "Miles&More Giftcards #191101-XXXXXX" über 9900, 9200 und 4500 Meilen.
Das Telefonat mit der Hotline war leider nicht sehr hilfreich, hier wurde mir nur gesagt Passwort und PIN ändern (hatte ich schon gemacht) und wurde ansonste nur an das Kontaktformular auf der Webseite verwiesen, dort den Fall schildern und eine Ausweiskopie mitsenden, ich würde dann die Meile wiederbekommen. Dies habe ich dann sofort gemacht aber leider bis Heute keine Rückmeldung bekommen.
Am 6.11. erhielt ich dann eine (automatisiert geschickte) eMail von der "Fraudprevention", das dem System verdächtige Aktivitäten und anschließend Bestellungen von Gutscheinen aufgefallen ist. Mein Meilenkonto wurde ab diesem Zeitpunkt gesperrt und ich solle bestätigen, das die Bestellungen von mir waren nebst Ausweiskopie. Also hier auch wieder den Fall geschildert aber auch wieder bis heute keinerlei Rückmeldung erhalten.
Mein Meilenkonto selbst war wenige Tage später wieder freigeschaltet und auch meine Mobilnummer und eMail ist jetzt wieder meine. Ich selbst konnte die Daten nicht ändern, wegen 2Faktor, ich frage mich jedoch wie der Besteller der Gutscheine diese Daten einfach ändern konnte, genauso wie er in das Konto gekommen ist (einmaliges, 16-Zeichen Passwort, Sonderzeichen usw.)
Die Meilen habe ich ehrlich gesagt abgeschrieben, es war ja auch immerhin nicht allzu viel. Aber trotzdem ärgerlich, besonders weil zwischen Abbuchen der Meilen und meinem Anruf nur wenige Minuten vergangen sind. Hier hätte ich naiverweise gedacht man könnte die Bestellung noch stornieren o.ä.
Ich wollte trotzdem hier den Fall schildern und wünsche euch einen schönen Sonntagabend.
Heute ist also Tag 16. Du gibst aber schnell auf!
In einem solchen Fall mahlen die Mühlen halt etwas langsam, ich würde da nicht gleich aufgeben.
Willkommen im VFT.
Okay, ich habe mich da etwas unglücklich ausgedrückt. Ich wollte damit eher sagen, da ich nach 16 Tagen noch keinerlei Rückmeldung bekommen habe, mein Konto aber binnen weniger Tage wieder freigeschaltet und meine Daten wieder korrekt sind, ich nicht damit rechne das sich noch jemand von LH dazu meldet. Ich werde aber definitv kommende Woche nochmal telefonisch und per Mail nachhaken.
Vielen Dank !
2FA bei Miles & More?!
Über die PIN? Die hat nur fünf Stellen. Oder über einen Passwort-Reset. D.h. Der Zugriff auf das zugehörige E-Mail-Konto kam als erstes unter die Räder.
Sobald ich versuche, die Mobilnummer zu ändern wird zuerst eine PIN per SMS an die alte Nummer gesendet. Daher ist mir nicht ganz klar wie jemand die Nummer einfach so ändern konnte.
Stimmt, die 5-stellige numerische PIN ist natürlich die größte Sicherheitslücke...Zugriff auf das eMail Konto kann ich weitestgehend ausschließen, da eigener Server mit 2FA und Zugriff nur aus einem bestimmten IP-Netzbereich (VPN) möglich. In den Logs war auch nichts auffälliges.
Interessant wäre natürlich mal was M&M dazu sagt, d.h. wie laut deren Logs der Zugriff erfolgt ist. Aber das werde ich vermutlich nicht erfahren...
Danke für den Hinweis, das habe ich so noch nicht gesehen. In der Tat, 2FA.
Aber: Man kann den Code auch eine E-Mail-Adresse schicken lassen. Womit wir dann beim folgenden Punkt wären...
Ich unterstelle, dass Dein Mail-Server aus dem ganzen Internet zugänglich ist. Sonst könnte man ihm ja keine Mails zukommen lassen per SMTP.
Meint: Nur, weil sich ein Anwender lediglich aus einem eingeschränkten IP-Bereich anmelden kann, heißt ja aber noch lange nicht, dass man das Ding nicht gleich in Gänze anderweitig aufbekommt (beispielsweise, weil wichtige Updates fehlen und die dann vorhandenen Schwachstellen durch einen simplen Scan des Internets aufgefallen sind).
Das einzig interessante für die diebe sind ja die giftcards. Das meiste andere ist ja über adresse rauszufinden. Die diebe werden ja wohl kaum einen flug buchen.
wäre es daher nicht sinnvoll, dass jeder kunde in seinem profil sowas anklicken kann wie „gutschein kauf per meilen deaktiviert“?
oder noch besser: „meilen dürfen nur für flüge eingesetzt werden“ . So eine einstellung im profil könnte ja nicht so schwer sein. M&m würde sich durch so eine einstellung ne menge ärger ersparen.
wäre es daher nicht sinnvoll, dass jeder kunde in seinem profil sowas anklicken kann wie „gutschein kauf per meilen deaktiviert“?
oder noch besser: „meilen dürfen nur für flüge eingesetzt werden“ . So eine einstellung im profil könnte ja nicht so schwer sein. M&m würde sich durch so eine einstellung ne menge ärger ersparen.
Zum einen kann der Übeltäter die Einstellung wieder ändern, zum anderen möchte M&M doch seine Kaffeemaschinen loswerden.
...und der Hacker setzt / entfernt dann einfach das Häcken wieder, nachdem er sich Zugang zu Deinem Konto verschafft hat. 
Wobei ich 2FA relativieren muss: Ich habe es eben noch einmal mit verschiedenen eMail-Adressen und Mobilnummern getestet und ich kann beides beliebig ändern ohne das eine weitere Authentifizierung abgefragt wird. Als meine Meilen gestohlen wurden konnte ich aber definitv beides nicht im meine Daten zurück-ändern, ohne eine SMS-TAN.
Nur eine eMail-Benachrichtigung bekomme ich immer wenn was geändert wird...... Insgesamt keine besonders tolle Sicherheit bei M&M......wobei z.B. Flying Blue auch nicht besser ist, dort darf das Passwort z.B. nur max. 12 Zeichen lang sein.
Ja, du hast schon recht, mit entsprechendem Aufwand kommt man in jedes System. Von Update-Seite habe ich mir aber nichts vorzuwerfen, Security-Updates werden mehrmals täglich automatisch überprüft und eingespielt und das generell zugrunde liegende Linux (RHEL) ist auch immer auf dem aktuellen Stand. (neben dem ganzen anderen Kram wie Firewall, Fail2Ban usw....)
Zuletzt bearbeitet:
Kleines und erfreuliches Update meinerseits: Nachdem nun fast 4 Wochen um waren ohne das ich irgendeine Rückmeldung von M&M erhalten habe, habe ich erneut eine Mail an die Fraudprevention Adresse geschickt, diesmal mit deutlicheren Worten (aber natürlich trotzdem sachlich und freundlich) und siehe da, zwar immer noch keine Rückmeldung, dafür waren keine 24 Stunden später die Meilen wieder da.
Keine externen Smileys einbinden - die mag das Forum nicht und zeigt deinen Beitrag deswegen nicht an.
Das passt doch hervorragend zu diesem Thread... xD
https://www.vielfliegertreff.de/miles-more/136786-achtung-daten-leck-bei-miles-more.html
https://www.vielfliegertreff.de/miles-more/136786-achtung-daten-leck-bei-miles-more.html
Hallo, kann mir jemand weithelfen oder hatte mal einen ähnlichen Fall? Von meinem Miles and More Konto wurde ein Prämienflug über Turkish Airlines in der Business Class gebucht im Namen einer Fremden Person. Bei Turkish Airlines lande ich telefonisch in der Servicewüste und bekomme gesagt, das Sie den Flug nicht stornieren können! Miles and More sagt Sie können den Flug auch nicht stornieren. Kann mir jemand weiterhelfen wie ich mich jetzt am besten verhalten soll um wieder an meine fehlenden 71.000 Meilen zu kommen? Grüße Martin
Dein Vertragspartner ist Miles&More und nicht Turkish Airlines. Was ich tun würde:
1. Dein M&M-Passwort ändern.
2. Strafanzeige gegen Unbekannt bzw. die unbekannte in dem Ticket benannte Person stellen.
3. M&M per Einschreiben und vorab per Fax mitteilen, dass unberechtigterweise ein Prämienflug für eine fremde Person von Deinem M&M-Konto gebucht wurde, und die Rückbuchung der Meilen fordern. Dabei natürlich auf die Strafanzeige verweisen.
4. Entspannen, da sich das klären lassen sollte.
Einen Flug mit geklauten Prämienmeilen zu buchen ist so ziemlich das dämlichste, das ein Betrüger machen kann...?
Naja, wenn er nicht ganz dämlich war, hat er nicht für sich gebucht, sondern irgendwo gegen Geld einen Business Flug verkauft. Könnte also gut sein, dass der Passagier nicht der Dieb ist. Aber das sollten die Ermittlungen nach einer Anzeige klären können.
Taucht da im Account nicht das Ticket auf und man kann das online bearbeiten. Und dem Flieger die Tour vermasseln.
Standard, auch mit geklauten Kreditkartendaten. Der einzig Angeschmierte ist der Passagier. Geld weg und kein Flug.
Das mag sein, aber der angeschmierte Passagier sollte sich fragen, wo und wie er sein Ticket erstanden hat. Tickets gebucht aus geklauten M&M-Accounts gibt es weder auf lh.com noch auf Expedia.
Wenn dem OP die Ticketdaten bekannt sind, kann er das Ticket als Accountinhaber doch einfach für 50 Euro Stornogebühr auf ganz normalem Weg stornieren. Das wäre mal die naheliegendste Lösung, wenn sich M&M sonst stur stellt.
Ich wollte nicht notwendigerweise Verstaendnis oder gar Mitleid zum Ausdruck bringen
Klar sind die (mindestens) selber schuld.Auch bei mir wurde einmal ein Eco -Flug gebucht 30.000 Meilen . Als nach mehrmaligen Anrufen keine Rückbuchung erfolgte , hat mein Anwalt an M & M geschrieben mit dem Hinweis der Strafanzeige . Innerhalb von 24 Std. waren die Meilen wieder da. Entschuldigung folgte mit dem Hinweis ein Mitarbeiter aus dem Servicecenter hatte für eine Frau einen Eco - Flug gebucht .
Frage , bis heute mir nicht klar ??? Wie kommt der auf mein Konto .
Bin seit vielen Jahren dabei und habe noch keine schlechten Erfahrungen mit meinem Konto gemacht.
Frage , bis heute mir nicht klar ??? Wie kommt der auf mein Konto .
Bin seit vielen Jahren dabei und habe noch keine schlechten Erfahrungen mit meinem Konto gemacht.
ANZEIGE
![300x250]()
Käse. MaM anrufen, sich mit Daten und pin identifizieren MaM wird zB den OCI deaktivieren, so muss der Pax zum counter. Da wird die Person wohl ziemlich in der Klemme sitzen.
Was soll der Shit mit Einschreiben? Die bekommst schon zurück, oder brauchst die unbedingt heute?
Betrüger buchen normal kurzfristig. Also, jetzt für einen Award Flug heute Nachmittag und nicht Monate in der Zukunft.
Zuletzt bearbeitet: