Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Es wurde doch schon zigmal diskutiert, dass die MFA nicht für Prämienbuchungen greift, sondern nur bei Stammdatenänderung….
Also lief hier aus der Sicht alles „by design“.
Nun ja, äh, nein.
Es braucht schon etwas mehr als nur Zugriff zur Website......
Man braucht auch Deine Servicekartennummer und PIN oder Deine Travel ID und das Passwort.
Ein Skandal ist eher, dass jemand diese Daten hatl.
Man muss aber schon sagen, dass die aktuelle Umsetzung von 2FA nicht angemessen ist. 2FA ist ja gerade für den Fall gedacht, dass die Zugangsdaten irgendwie in die falschen Hände geraten sind.
Man stelle sich mal vor man kann bei einer deutschen Bank ohne 2FA, von einem fremden Gerät aus, auf Gelder zugreifen. Wenn ich 2FA entsprechend eingeschaltet habe erwarte ich auch, dass niemand auf meine Meilen ohne den 2. Faktor zugreifen kann.
Man muss aber schon sagen, dass die aktuelle Umsetzung von 2FA nicht angemessen ist. 2FA ist ja gerade für den Fall gedacht, dass die Zugangsdaten irgendwie in die falschen Hände geraten sind.
Man stelle sich mal vor man kann bei einer deutschen Bank ohne 2FA, von einem fremden Gerät aus, auf Gelder zugreifen. Wenn ich 2FA entsprechend eingeschaltet habe erwarte ich auch, dass niemand auf meine Meilen ohne den 2. Faktor zugreifen kann.
Also beir mir scheint die 2-Faktor Authentifizierung nicht zu funktionieren: heute hat sich ein gewisse Xia Liam auf der Japanischen Website ein Business Prämienticket HKG-LFW gebucht, brav die 442 HKD Steuern bezahlt - dummerweise für den Täter kam eine email an micht - japanisch, wolte ich zuerst löschen.
5-stellige PIN ist ja bereits IT von 1998, einloggen ist ja nicht so schlimm, aber wenn beim buchen von Prämientickets keine 2-Faktor Authentifiziertung kommt, ist das schon echt schwach, oder?
Beim Ändern der PIN hat die 2-Faktor Authentifizierung funktioniert - Prämenticket buchen offensichtlich nicht!
Nun ja, äh, nein.
Es braucht schon etwas mehr als nur Zugriff zur Website......
Man braucht auch Deine Servicekartennummer und PIN oder Deine Travel ID und das Passwort.
Ein Skandal ist eher, dass jemand diese Daten hatl.
Das sehe ich anders: Die Servicekartennummern wurden ja leaked, vermutlich bei der Umstellung wegen Statuswechsel.
Problem ist die 5-stellige PIN! Wieso wurden denn praktisch alles Onlineshops seit Jahren umgestellt auf ZFA entweder jedes login oder spätestens beim Kauf. Ich sehe M&M wie in Bankkonto - da kann ich auch relativ einfach rein, aber keine Änderungen durchführen ohne ZFA, FP, eTAN etc.!
Erste Stufe wäre z.B. wenigstens dann, wenn du für jemand anderen ein Award Ticket buchen wilst, eine ZFA kommt, zweite Stufe wäre dass spätestens bei der Nutzung der Meilen (=wie Bankonto überweisen) eine ZFA kommt. Am besten wäre, wenn jeder login wie bei jeder guten Bank per ZFA (App) bestätigt werden muss.
Was M&M im Moment hat ist oldschool hoch drei!
Ihr könnt euch vorstellen, was passiert ist? Mein über "Webformular" eingereichtes Beschwerde über o.g. Zustand wurde von KI-Robot erkannt als "Datenmissbrauch" und mein Konto ist schon wieder gesperrt.
Nach 5 Anrufen udn Fristsetzung zur Freischaltung, wollen die Helden jetzt zum zweiten Mal innerhalb von 2 Wochen einen ID-Nachweis, Vorder und Rückseite Perso - natürlich "unverschlüsselt" per email....
Email kam auf Japanisch, aber sie kam (nicht im Spam) - gestern sofort angerufen und Ticket wurde storniert. Der Herr Xi Lam dürfte dann sein Reisepläne ändern mussen gestern in HKG
richtig, so wie ein Bankkonto - oder halt die M&M App mit FP login bestätigen lassen, dass man sich gerade einloggt - analog Paypal bei Gelegenheit (speziell mit verdächtiger IP)
So bevor ich jetzt ein neues Thema aufmache: ich wurde heute schon wieder - innerhlab von 14 Tagen - mit 3 Awards von Chinesen für Afrika nach Shanghai betrogen!
Immer Ethopian Airways - gibt's eigentlich einen tieferen Grund weshalb die Betrüger Awards auf den Fremairlines buchen?
Abgesehe davon bekommt M&M IT Security es nicht gebacken, Account ausreichend zu sichern. Die schreiben mir am 22.2.24:
Nach Prüfung der von Ihnen zur Verfügung gestellten Unterlagen haben wir das Konto wieder freigeschaltet.
Wir haben die Funktion zum Einlösen von Meilen in Ihrem Profil vorübergehend deaktiviert, so dass keine Meilen eingelöst werden können, bis Sie alle Ihre Login-Daten geändert haben. Sobald Sie Ihre Login-Daten geändert haben, können Sie sich an das Service Center wenden, um Ihre Ausgabenauthentifizierung wieder zu aktivieren.
Vorsorglich raten wir Ihnen ebenfalls, die Zugangsdaten Ihres mit dem Meilenkonto verbundenen E-Mail-Kontos zu ändern.
Das "Deaktivieren" hat nicht funktioniert oder das vorrübergehend war nur 5 Tage? Ich habe keine LoginDaten geändert, weil ich die bereits nach dem ersten Betrug geändert hatte. Ausserdem sind die ja offensichtlich nicht sicher - klaro 5-stellige PINs waren noch nie sicher!
Die haben nicht verstanden, dass es nicht die Zugangsdaten sind, sondern die Einlösefunktion OHNE ZFA. Von mir aus kann auf meinem Konto alle Zugriff haben, solange sie nichts verändern können, mir egal!
Ändere ich email Adresse auf eine ähnlich mit anderer Domaine, finden die Betrüger das recht schnell udn die PIN dann halt auch wieder innerhlab von Minuten.
So bevor ich jetzt ein neues Thema aufmache: ich wurde heute schon wieder - innerhlab von 14 Tagen - mit 3 Awards von Chinesen für Afrika nach Shanghai betrogen!
Ich habe keine LoginDaten geändert, weil ich die bereits nach dem ersten Betrug geändert hatte. Ausserdem sind die ja offensichtlich nicht sicher - klaro 5-stellige PINs waren noch nie sicher!
jetzt nochmals: der pure Zugang zu meinem Account ist mir egal - es geht darum, dass M&M (=LHG) die Nutzung der Meilen nicht ordentlich schützt wie ein Bank mein Geld!
Genau weil der Betrüger normalerweise weiter wandert, hier nicht, denn es wir mit 5-stellige rPIN viel zu einfach gemacht, Zugang zu kriegen und dann alle Meilen frei einzusetzen.
Man könnte das auch entspannen, indem man die Buchung für Fremdpersonen unterbindet oder Einkäufe nur an Adresse die hinterlegt ist. Änderung ja nur über ZFA.
Betrüger wissen, dass LH hier ein Problem hat und setzen genau dort an!
Hallo zusammen, man liest ja viel darüber und ist mir gerade passiert: Soeben wurden bei mir und bei meiner Frau Punkte eingelöst. Unsere Mailkonten sind sicherlich nicht gehackt und die Passwörter nicht identisch mit anderen verwendeten Passwörtern. Jemand eine Idee wie das angehen kann?
jetzt nochmals: der pure Zugang zu meinem Account ist mir egal - es geht darum, dass M&M (=LHG) die Nutzung der Meilen nicht ordentlich schützt wie ein Bank mein Geld!
Hallo zusammen, man liest ja viel darüber und ist mir gerade passiert: Soeben wurden bei mir und bei meiner Frau Punkte eingelöst. Unsere Mailkonten sind sicherlich nicht gehackt und die Passwörter nicht identisch mit anderen verwendeten Passwörtern. Jemand eine Idee wie das angehen kann?
Ganz ehrlich: Wenn die nach einer Pin Änderung gleich wieder zugriff auf deine Meilen haben, sind die entweder in deinem Emailpostfach oder auf deinem Gerät oder auf beidem.