ANZEIGE

XT600

Erfahrenes Mitglied
16.03.2009
21.879
1.485
ANZEIGE
Es wurde doch schon zigmal diskutiert, dass die MFA nicht für Prämienbuchungen greift, sondern nur bei Stammdatenänderung….
Also lief hier aus der Sicht alles „by design“.
aha, d.h., wer Zugriff auf die Website hat kann, einfach mal so Prämien buchen.... das ist ja ein Skandal!
 

chrism

Aktives Mitglied
01.05.2023
154
143
FRA/ORD
Man muss aber schon sagen, dass die aktuelle Umsetzung von 2FA nicht angemessen ist. 2FA ist ja gerade für den Fall gedacht, dass die Zugangsdaten irgendwie in die falschen Hände geraten sind.
Man stelle sich mal vor man kann bei einer deutschen Bank ohne 2FA, von einem fremden Gerät aus, auf Gelder zugreifen. Wenn ich 2FA entsprechend eingeschaltet habe erwarte ich auch, dass niemand auf meine Meilen ohne den 2. Faktor zugreifen kann.
 

hippo72

Erfahrenes Mitglied
11.03.2009
11.705
4.326
Paralleluniversum
Man muss aber schon sagen, dass die aktuelle Umsetzung von 2FA nicht angemessen ist. 2FA ist ja gerade für den Fall gedacht, dass die Zugangsdaten irgendwie in die falschen Hände geraten sind.
Man stelle sich mal vor man kann bei einer deutschen Bank ohne 2FA, von einem fremden Gerät aus, auf Gelder zugreifen. Wenn ich 2FA entsprechend eingeschaltet habe erwarte ich auch, dass niemand auf meine Meilen ohne den 2. Faktor zugreifen kann.
DAS ist ein ganz anderes Thema und da stimme ich völlig zu. MFA beim einloggen wäre praktisch.
 
  • Like
Reaktionen: fieseblauefrucht

Desperado177

Erfahrenes Mitglied
26.10.2012
775
60
Also beir mir scheint die 2-Faktor Authentifizierung nicht zu funktionieren: heute hat sich ein gewisse Xia Liam auf der Japanischen Website ein Business Prämienticket HKG-LFW gebucht, brav die 442 HKD Steuern bezahlt - dummerweise für den Täter kam eine email an micht - japanisch, wolte ich zuerst löschen.

5-stellige PIN ist ja bereits IT von 1998, einloggen ist ja nicht so schlimm, aber wenn beim buchen von Prämientickets keine 2-Faktor Authentifiziertung kommt, ist das schon echt schwach, oder?

Beim Ändern der PIN hat die 2-Faktor Authentifizierung funktioniert - Prämenticket buchen offensichtlich nicht!
Nur aus Interesse: dadurch dass du die Email bekommen hast, konntest du dann wieder stornieren?
 

XT600

Erfahrenes Mitglied
16.03.2009
21.879
1.485
Nun ja, äh, nein.
Es braucht schon etwas mehr als nur Zugriff zur Website......
Man braucht auch Deine Servicekartennummer und PIN oder Deine Travel ID und das Passwort.

Ein Skandal ist eher, dass jemand diese Daten hatl.
Das sehe ich anders: Die Servicekartennummern wurden ja leaked, vermutlich bei der Umstellung wegen Statuswechsel.

Problem ist die 5-stellige PIN! Wieso wurden denn praktisch alles Onlineshops seit Jahren umgestellt auf ZFA entweder jedes login oder spätestens beim Kauf. Ich sehe M&M wie in Bankkonto - da kann ich auch relativ einfach rein, aber keine Änderungen durchführen ohne ZFA, FP, eTAN etc.!

Erste Stufe wäre z.B. wenigstens dann, wenn du für jemand anderen ein Award Ticket buchen wilst, eine ZFA kommt, zweite Stufe wäre dass spätestens bei der Nutzung der Meilen (=wie Bankonto überweisen) eine ZFA kommt. Am besten wäre, wenn jeder login wie bei jeder guten Bank per ZFA (App) bestätigt werden muss.

Was M&M im Moment hat ist oldschool hoch drei!

Ihr könnt euch vorstellen, was passiert ist? Mein über "Webformular" eingereichtes Beschwerde über o.g. Zustand wurde von KI-Robot erkannt als "Datenmissbrauch" und mein Konto ist schon wieder gesperrt.

Nach 5 Anrufen udn Fristsetzung zur Freischaltung, wollen die Helden jetzt zum zweiten Mal innerhalb von 2 Wochen einen ID-Nachweis, Vorder und Rückseite Perso - natürlich "unverschlüsselt" per email.... :rolleyes:
Beitrag automatisch zusammengeführt:

Nur aus Interesse: dadurch dass du die Email bekommen hast, konntest du dann wieder stornieren?
Email kam auf Japanisch, aber sie kam (nicht im Spam) - gestern sofort angerufen und Ticket wurde storniert. Der Herr Xi Lam dürfte dann sein Reisepläne ändern mussen gestern in HKG;)
Beitrag automatisch zusammengeführt:

Bitte?
Es braucht kein MFA bei jedem Einloggen. Bei jedem Meilenabgang würde vollkommen ausreichen.
richtig, so wie ein Bankkonto - oder halt die M&M App mit FP login bestätigen lassen, dass man sich gerade einloggt - analog Paypal bei Gelegenheit (speziell mit verdächtiger IP)
 

XT600

Erfahrenes Mitglied
16.03.2009
21.879
1.485
So bevor ich jetzt ein neues Thema aufmache: ich wurde heute schon wieder - innerhlab von 14 Tagen - mit 3 Awards von Chinesen für Afrika nach Shanghai betrogen!

Immer Ethopian Airways - gibt's eigentlich einen tieferen Grund weshalb die Betrüger Awards auf den Fremairlines buchen?

Abgesehe davon bekommt M&M IT Security es nicht gebacken, Account ausreichend zu sichern. Die schreiben mir am 22.2.24:

Nach Prüfung der von Ihnen zur Verfügung gestellten Unterlagen haben wir das Konto wieder freigeschaltet.

Wir haben die Funktion zum Einlösen von Meilen in Ihrem Profil vorübergehend deaktiviert, so dass keine Meilen eingelöst werden können, bis Sie alle Ihre Login-Daten geändert haben. Sobald Sie Ihre Login-Daten geändert haben, können Sie sich an das Service Center wenden, um Ihre Ausgabenauthentifizierung wieder zu aktivieren.

Vorsorglich raten wir Ihnen ebenfalls, die Zugangsdaten Ihres mit dem Meilenkonto verbundenen E-Mail-Kontos zu ändern.

Das "Deaktivieren" hat nicht funktioniert oder das vorrübergehend war nur 5 Tage? Ich habe keine LoginDaten geändert, weil ich die bereits nach dem ersten Betrug geändert hatte. Ausserdem sind die ja offensichtlich nicht sicher - klaro 5-stellige PINs waren noch nie sicher!

Die haben nicht verstanden, dass es nicht die Zugangsdaten sind, sondern die Einlösefunktion OHNE ZFA. Von mir aus kann auf meinem Konto alle Zugriff haben, solange sie nichts verändern können, mir egal!

Ändere ich email Adresse auf eine ähnlich mit anderer Domaine, finden die Betrüger das recht schnell udn die PIN dann halt auch wieder innerhlab von Minuten.
 

oliver2002

Indernett Flyertalker
09.03.2009
8.787
4.170
50
MUC
www.oliver2002.com
So bevor ich jetzt ein neues Thema aufmache: ich wurde heute schon wieder - innerhlab von 14 Tagen - mit 3 Awards von Chinesen für Afrika nach Shanghai betrogen!

Ich habe keine LoginDaten geändert, weil ich die bereits nach dem ersten Betrug geändert hatte. Ausserdem sind die ja offensichtlich nicht sicher - klaro 5-stellige PINs waren noch nie sicher!

Ich vermute mal das Du auf deinen Geräten ein Datenleck hast... ;)
 
  • Like
Reaktionen: Münsterländer

XT600

Erfahrenes Mitglied
16.03.2009
21.879
1.485
Ein schlauer Betrüger wandert nach einem Fehlversuch bzw. wenn er erwischt wird weiter und versucht es bei einem anderen Opfer...
jetzt nochmals: der pure Zugang zu meinem Account ist mir egal - es geht darum, dass M&M (=LHG) die Nutzung der Meilen nicht ordentlich schützt wie ein Bank mein Geld!

Genau weil der Betrüger normalerweise weiter wandert, hier nicht, denn es wir mit 5-stellige rPIN viel zu einfach gemacht, Zugang zu kriegen und dann alle Meilen frei einzusetzen.

Man könnte das auch entspannen, indem man die Buchung für Fremdpersonen unterbindet oder Einkäufe nur an Adresse die hinterlegt ist. Änderung ja nur über ZFA.

Betrüger wissen, dass LH hier ein Problem hat und setzen genau dort an!
 

Chemist

Erfahrenes Mitglied
28.10.2017
3.640
5.181
BSL
das glaube ich nicht!

M&M sagt "Meileneinlösung wird blockiert" - wird nicht blockiert
5-stellige PINs knackt dir ein Anfänger nach ein paar Stunden!
Es war nicht auch zufällig die Ehefrau? :)


Wer den Schaden hat, ... Sorry!
 

XT600

Erfahrenes Mitglied
16.03.2009
21.879
1.485
Es war nicht auch zufällig die Ehefrau? :)


Wer den Schaden hat, ... Sorry!
K85GJJ YANG/HONGBO MR, K74OIZ FU/XINYUE MRS,K5JSHB QU/CHUNBAO MR

von Äthopien nach Shanghai in Business Class - ganz sicher war das meine Frau!