LH-M&M-Prämienmeilen gestohlen

[tyrolean]

ANZEIGE

Das macht aber für die Diskussion hier natürlich keinen Unterschied, da Brute Force Attacken sowieso unterbunden sind und somit die Anmeldedaten entweder direkt beim User gehackt werden oder durch Vielfachverwendung bei einem anderen Onlinedienst. Ausschließliche Verwendung von LoginID und PW dürfte wegen Mehrfachverwendung sogar noch etwas unsicherer sein als die rein LH spezifische Service Nummer mit Pin.

Würde Stimmen wenn:
1) Niemand an die verschlüsselten Passwort Daten kommt

2) Die PINs gleich verteilt sich sind.

Ansonsten probiert man die Wahrscheinlichsten Kombis aus und knackt sie erstaunlich schnell.

Bei einer Mio. Kartennummern und 10 Versuchen wird man doch auch den einen oder anderen Treffer landen...

 

[woodly2712]

Als mir damals die Meilen gestohlen wurden habe ich M/M gefragt, wie das wohl sein kann und ob sowas öfter vorkommt:

"Nein, Sie sind nicht der einzige, sowas kommt vor."
"Vermutlich waren Sie in einem offenen WLAN Netzwerk, vielleicht in einem Hotel oder so und Sie haben sich von dort bei M/M eingelogt und Ihre Daten wurden abgefangen"

Wie auch immer, was mich am meisten geärgert hat war die Tatsache, daß es keine Benachrichtigung gab als meine eMail Adresse in den Stammdaten geändert wurde. Wenn ich bei eBay oder sonstwo meine hinterlegte eMail Adresse ändere, bekomme ich immer eine entsprechende Info an die alte eMail Adresse.

 

[Travelling_Geek]

"Nein, Sie sind nicht der einzige, sowas kommt vor."
"Vermutlich waren Sie in einem offenen WLAN Netzwerk, vielleicht in einem Hotel oder so und Sie haben sich von dort bei M/M eingelogt und Ihre Daten wurden abgefangen"

Möglich, aber nicht sehr wahrscheinlich, da aufwändig(er).

Wie auch immer, was mich am meisten geärgert hat war die Tatsache, daß es keine Benachrichtigung gab als meine eMail Adresse in den Stammdaten geändert wurde. Wenn ich bei eBay oder sonstwo meine hinterlegte eMail Adresse ändere, bekomme ich immer eine entsprechende Info an die alte eMail Adresse.

Das wurde inzwischen geändert bei M&M, die verschicken jetzt auch E-Mails.

 

[kanada99]

es wäre weitergehend hilfreich eine Umsatznachricht zu erhalten, soeben xxx.xxxx für Ihre Flugbuchung/Einkauf abgebucht. Dies würde etvl. die Zeitspanne zur Entdeckung des Misbrauchs verkürzen. Passiert ja standardmässig bei Kreditkartengebrauch, bzw Länderwechsel etc

 

[MisterG]

Auch hier gilt: Selber kontrollieren und nicht irgendwelche Automatismen einfordern.

 

[kanada99]

Auch hier gilt: Selber kontrollieren und nicht irgendwelche Automatismen einfordern.

Das Eine war Sinn und Zweck des "Alertposts" das Andere ein nützliches Miteinander im Kampf gegen den Verbrecher---weil zahlen tut die Zeche am Schluß jemand----und rate mal WER!!!!

irgendwelche Automatismen .

nö nicht irgendwelche. nützliche zur fraud prevention

 

[honk20]

Als mir damals die Meilen gestohlen wurden habe ich M/M gefragt, wie das wohl sein kann und ob sowas öfter vorkommt:

"Nein, Sie sind nicht der einzige, sowas kommt vor."
"Vermutlich waren Sie in einem offenen WLAN Netzwerk, vielleicht in einem Hotel oder so und Sie haben sich von dort bei M/M eingelogt und Ihre Daten wurden abgefangen"

Einmal mehr zeigt es, wenn man solche sensible Seiten wie Payback, Paypal, Banken, Amazon und M&M aufruft, das ganze via VPN zu machen. Ich habe mir vor geraumer Zeit eine FritzBox VPN eingerichtet mit dem Ziel darüber zu telefonieren wenn man im Ausland ist. Das geht ganz gut (siehe andere Beiträge in Unterforen) und hat den positiven Nebeneffekt dass man bei der Gelegenheit auch "wichtige" Seiten wie emails (habe ich übrigens geändert auf manuelle Abrufe, keine Push mehr) über VPN abzurufen.

Ist sicherlich nicht die beste Lösung aber es ist ein Schritt um es Hackern die nicht ganz so versiert sind oder Hobby Hackern an öffentlichen Plätzen, das Leben schwerer zu machen.

 

[AntonBauer]

Das geht ganz gut (siehe andere Beiträge in Unterforen) und hat den positiven Nebeneffekt dass man bei der Gelegenheit auch "wichtige" Seiten wie emails (habe ich übrigens geändert auf manuelle Abrufe, keine Push mehr) über VPN abzurufen.

Ist sicherlich nicht die beste Lösung aber es ist ein Schritt um es Hackern die nicht ganz so versiert sind oder Hobby Hackern an öffentlichen Plätzen, das Leben schwerer zu machen.

VPN schadet nicht; aber da Miles-and-More mit SSL arbeitet, werden da kaum Daten über WLANs abgegriffen. Ein guter alter Trojaner ist da 1000x wahrscheinlicher.

 

[MisterG]

VPN schadet nicht; aber da Miles-and-More mit SSL arbeitet, werden da kaum Daten über WLANs abgegriffen. Ein guter alter Trojaner ist da 1000x wahrscheinlicher.

oder das PostIt damit die Sekretärin über das Profil buchen kann ... alles schon dagewesen ...

 

[InsideMUC]

Gutes Neues Zusammen!

Folgendes ist meinem Arbeitskollegen letzte Woche passiert. Über seinen M&M Account wurde am 26.12. eine Hotelbuchung für 2 Nächte in Dubai in einer Prestige Suite veranlasst. Anreisetag ebenfalls der 26.12.! Meilenwert von knapp 277.000 Meilen! Der Gauner war zum Glück so dämlich und hat die Emailadresse nicht geändert. Die Buchungsbestätigung hat er mir gerade gezeigt. Auch den Nachnamen ließ er unangetastet.

Also mit 200 Puls versucht, Miles & More irgendwie zu kontaktieren am Feiertag. Er hat auch eine Email an das Hotel geschrieben. Glückliches Ende; Buchung konnte storniert werden und die Meilen wurden wieder erstattet.

Ein Check des Meilenkontos dürfte also nicht schaden...

 

[mojito25]

So, jetzt hat es mich auch erwischt.

Knapp 300K Meilen floeten durch Miles & More Giftcards. Hotline meinte, da heute niemand in der Zentrale (?) erreichbar ist, werde ich morgen zurueckgerufen.

Werden diese Giftcards physisch verschickt oder gibt es nur einen Code per E-Mail?

Happy erster Advent

 

[flyglobal]

So, jetzt hat es mich auch erwischt.

Knapp 300K Meilen floeten durch Miles & More Giftcards. Hotline meinte, da heute niemand in der Zentrale (?) erreichbar ist, werde ich morgen zurueckgerufen.

Werden diese Giftcards physisch verschickt oder gibt es nur einen Code per E-Mail?

Happy erster Advent

Leide mit dir, aus deinem Anlass schnell ins brandneue iPhoneX die M&M Daten neu eingegeben. Zum Glück alle Meilen auf dem Konto.

Irgend wine Ahnung wie die da dran gekommen sind? Oder istd as einfach x - faches probieren?

Unsere IT Spezialisten hier können das ja mal checken.


Flyglobal

 

[Goliath]

Leide mit dir, aus deinem Anlass schnell ins brandneue iPhoneX die M&M Daten neu eingegeben. Zum Glück alle Meilen auf dem Konto.

Danke, dass Du uns an Deiner Freude über Dein neues Gadget teilhaben lässt.

 

[Biohazard]

Interessanter Thread. Habe M&M gerade mal angeschrieben und nach 2FA gefragt. Mal gucken was dort als Antwort kommt.

 

[TDO]

2FA findet man doch selten. Ist doch fast immer nur 2SA. ;-)

Aber es würde schon reichen den Pin zu einem Passwort mit variabler Länge zu ändern.

 

[mojito25]

Leide mit dir, aus deinem Anlass schnell ins brandneue iPhoneX die M&M Daten neu eingegeben. Zum Glück alle Meilen auf dem Konto.

Irgend wine Ahnung wie die da dran gekommen sind? Oder istd as einfach x - faches probieren?

Unsere IT Spezialisten hier können das ja mal checken.


Flyglobal

Eigene Blödheit.

Ich war im Ausland, anscheinend wurde mein E-Mai account gehackt da zigtausend Emails verschickt wurden und ich teilweise die notifications bekommen habe. Konnte aber mein Email Passwort nicht ändern da t-online geoblocking auf der Seite zum Passwort zurücksetzen drin hat.

Als ich einen Tag später zu Hause war, habe ich mein Email Passwort geändert aber nicht daran gedacht, dass der PIN für M&M irgendwo noch in meinen Emails war.

Nunja, das ist nun das Ergebnis. Hatte mich schon gewundert warum ich mich gestern nicht einloggen konnte. Kein Wunder wenn sie das Passwort geändert haben... [emoji30]

 

[Biohazard]

2FA findet man doch selten. Ist doch fast immer nur 2SA. ;-)

Also ich nutze 2FA schon bei >10 Diensten (counting). Insbesondere bei Diensten bei denen es um € geht finde ich eine fehlende 2FA als schwer fahrlässig.

 

[TDO]

LH-M&M-Prämienmeilen gestohlen

Nenn mir doch die Dienste mit 2FA und nicht 2SA.
Adhoc fällt mir bei 2FA nur Apple, Google und ein paar Broker ein - Rest hat nur 2SA.

 

[Biohazard]

Meine großen vier: Google, Amazon, Microsoft, Synology
Der Rest sind eher kleinere Anbieter und vor allem Onlineaccounts für "Internet-Vertriebsplattform" (Zitat Wikipedia) wie z.B. Steam, Ubisoft, EA oder auch Nintendo.

Ansonsten: https://twofactorauth.org/

 

[Lisa2019]

Meilendiebstahl

Hallo zusammen,
meinem Mann und mir wurde aus unserem Meilenpool 2x 36 000 Meilen als Gutscheine gestohlen. Ich konnte mit niemandem bei Miles & More darüber sprechen, sondern musste über ein Onlineformular den Fall schildern. Das war am 15.08. Seitdem habe ich nichts mehr gehört. Mein Mann hat nun eine Mail von Miles & More bekommen, dass angeblich mein Email-Account gehackt wurde und sich die Diebe so Zugang zu meinem Miles & More Konto verschafft haben. Ihm wurde geraten bei der Polizei Strafanzeige zu stellen. Die Meilen bekommen wir angeblich nicht zurück, da ich Schuld bin und nicht Miles & More. Ich bin völlig geschockt und wollte wissen, ob jemand schon so etwas erlebt hat? Wir wollen unsere Meilen zurück und den genauen Sachverhalt erklärt haben, aber bei Miles & More kümmert sich niemand. Strafanzeige gegen Unbekannt haben wir gestellt.

 

[notsofrequentflyer]

Hallo zusammen,
meinem Mann und mir wurde aus unserem Meilenpool 2x 36 000 Meilen als Gutscheine gestohlen. Ich konnte mit niemandem bei Miles & More darüber sprechen, sondern musste über ein Onlineformular den Fall schildern. Das war am 15.08. Seitdem habe ich nichts mehr gehört. Mein Mann hat nun eine Mail von Miles & More bekommen, dass angeblich mein Email-Account gehackt wurde und sich die Diebe so Zugang zu meinem Miles & More Konto verschafft haben. Ihm wurde geraten bei der Polizei Strafanzeige zu stellen. Die Meilen bekommen wir angeblich nicht zurück, da ich Schuld bin und nicht Miles & More. Ich bin völlig geschockt und wollte wissen, ob jemand schon so etwas erlebt hat? Wir wollen unsere Meilen zurück und den genauen Sachverhalt erklärt haben, aber bei Miles & More kümmert sich niemand. Strafanzeige gegen Unbekannt haben wir gestellt.

Woher wollen die denn wissen, dass dein E-Mail-Account gehackt wurde? So etwas können die doch gar nicht nachvollziehen, oder liege ich da falsch?
Auf Basis der Beiträge, die hier in ehemaligen Fällen schon genannt wurden, würde ich zunächst auf jeden Fall Strafanzeige stellen, das wird ja immer gefordert um die Meilen zurückbuchen zu können. Vielleicht findet sich noch jemand, der Erfahrungen in solch einem Fall hat.

 

[MrAlex]

Da würde ich auch erst mal nachfragen, wie sie auf die Information kommen, dass der Mailaccount gehackt worden sei.
Sicher gibt es Konstellationen, die das vermuten lassen (Passwortzurücksetzung angefordert, neues Passwort angelegt und dann erfolgreich eingeloggt), aber ob M&M mit ihrer IT soetwas wirklich effektiv nachvollziehen könnte, sei mal dahingestellt.

 

[tomnordmann]

Mir wurde auch 36.000 Meilen gestohlen (angeblich für Gift Cards ausgegeben). Nun warte ich seit über einen Monat auf eine Reaktion von Lufthansa. Mein Meilenkonto wurde gesperrt und ich kann dadurch auch nicht an meine noch vorhandenen Meilen ran.

 

[Lisa2019]

Der Mitarbeiter von Miles & More hat bei seinem Vorgesetzten nachgefragt und der ließ ausrichten, dass der Dieb ein neues Passwort angefragt hat über meine EMail-Adresse und dementsprechend Zugang zu meinem Account hatte, um das neue Passwort zu erhalten. Allerdings braucht man ja auch die Servicekartennummer und die steht ja nicht in dem Email-Account. Daher verstehe ich das alles nicht. Außerdem sollte doch Miles & More gegen so etwas versichert sein? Unglaublich ist, dass ich von der Security Abteilung seit zwei Wochen nichts gehört habe. Nur durch meine ständigen Telefonate mit Miles & More bekomme ich tröpfchenweise Infos. Das ist ein katastrophaler Service und der Dieb sicher schon über alle Berge.

 

[Lisa2019]

ANZEIGE

Hey Tom, weißt du wie man an deine Meilen gekommen ist? Ich finde es unfassbar, dass Lufthansa sich seit einem Monat nicht bei dir meldet. Ich warte jetzt seit zwei Wochen. Da ich Journalistin bin, habe ich jetzt die Pressestelle eingeschaltet und die versprachen mir Unterstützung. Ich bin gespannt. An deiner Stelle würde ich auch Strafanzeige gegen Unbekannt stellen. Das kann man online machen und war problemlos auszufüllen.