ANZEIGE
aha, d.h., wer Zugriff auf die Website hat kann, einfach mal so Prämien buchen.... das ist ja ein Skandal!
Miles & More verbessert schrittweise die Sicherheit der Vielfliegerkonten mittels 2-Faktor-Authentifizierung
- Starter*in rcs
- Datum Start
ANZEIGE
Nun ja, äh, nein.
Es braucht schon etwas mehr als nur Zugriff zur Website......
Man braucht auch Deine Servicekartennummer und PIN oder Deine Travel ID und das Passwort.
Ein Skandal ist eher, dass jemand diese Daten hatl.
Man muss aber schon sagen, dass die aktuelle Umsetzung von 2FA nicht angemessen ist. 2FA ist ja gerade für den Fall gedacht, dass die Zugangsdaten irgendwie in die falschen Hände geraten sind.
Man stelle sich mal vor man kann bei einer deutschen Bank ohne 2FA, von einem fremden Gerät aus, auf Gelder zugreifen. Wenn ich 2FA entsprechend eingeschaltet habe erwarte ich auch, dass niemand auf meine Meilen ohne den 2. Faktor zugreifen kann.
Man stelle sich mal vor man kann bei einer deutschen Bank ohne 2FA, von einem fremden Gerät aus, auf Gelder zugreifen. Wenn ich 2FA entsprechend eingeschaltet habe erwarte ich auch, dass niemand auf meine Meilen ohne den 2. Faktor zugreifen kann.
DAS ist ein ganz anderes Thema und da stimme ich völlig zu. MFA beim einloggen wäre praktisch.
Bitte?
Es braucht kein MFA bei jedem Einloggen. Bei jedem Meilenabgang würde vollkommen ausreichen.
Nur aus Interesse: dadurch dass du die Email bekommen hast, konntest du dann wieder stornieren?
Das sehe ich anders: Die Servicekartennummern wurden ja leaked, vermutlich bei der Umstellung wegen Statuswechsel.
Problem ist die 5-stellige PIN! Wieso wurden denn praktisch alles Onlineshops seit Jahren umgestellt auf ZFA entweder jedes login oder spätestens beim Kauf. Ich sehe M&M wie in Bankkonto - da kann ich auch relativ einfach rein, aber keine Änderungen durchführen ohne ZFA, FP, eTAN etc.!
Erste Stufe wäre z.B. wenigstens dann, wenn du für jemand anderen ein Award Ticket buchen wilst, eine ZFA kommt, zweite Stufe wäre dass spätestens bei der Nutzung der Meilen (=wie Bankonto überweisen) eine ZFA kommt. Am besten wäre, wenn jeder login wie bei jeder guten Bank per ZFA (App) bestätigt werden muss.
Was M&M im Moment hat ist oldschool hoch drei!
Ihr könnt euch vorstellen, was passiert ist? Mein über "Webformular" eingereichtes Beschwerde über o.g. Zustand wurde von KI-Robot erkannt als "Datenmissbrauch" und mein Konto ist schon wieder gesperrt.
Nach 5 Anrufen udn Fristsetzung zur Freischaltung, wollen die Helden jetzt zum zweiten Mal innerhalb von 2 Wochen einen ID-Nachweis, Vorder und Rückseite Perso - natürlich "unverschlüsselt" per email....
Beitrag automatisch zusammengeführt:
Email kam auf Japanisch, aber sie kam (nicht im Spam) - gestern sofort angerufen und Ticket wurde storniert. Der Herr Xi Lam dürfte dann sein Reisepläne ändern mussen gestern in HKG
Beitrag automatisch zusammengeführt:
richtig, so wie ein Bankkonto - oder halt die M&M App mit FP login bestätigen lassen, dass man sich gerade einloggt - analog Paypal bei Gelegenheit (speziell mit verdächtiger IP)
So bevor ich jetzt ein neues Thema aufmache: ich wurde heute schon wieder - innerhlab von 14 Tagen - mit 3 Awards von Chinesen für Afrika nach Shanghai betrogen!
Immer Ethopian Airways - gibt's eigentlich einen tieferen Grund weshalb die Betrüger Awards auf den Fremairlines buchen?
Abgesehe davon bekommt M&M IT Security es nicht gebacken, Account ausreichend zu sichern. Die schreiben mir am 22.2.24:
Das "Deaktivieren" hat nicht funktioniert oder das vorrübergehend war nur 5 Tage? Ich habe keine LoginDaten geändert, weil ich die bereits nach dem ersten Betrug geändert hatte. Ausserdem sind die ja offensichtlich nicht sicher - klaro 5-stellige PINs waren noch nie sicher!
Die haben nicht verstanden, dass es nicht die Zugangsdaten sind, sondern die Einlösefunktion OHNE ZFA. Von mir aus kann auf meinem Konto alle Zugriff haben, solange sie nichts verändern können, mir egal!
Ändere ich email Adresse auf eine ähnlich mit anderer Domaine, finden die Betrüger das recht schnell udn die PIN dann halt auch wieder innerhlab von Minuten.
Immer Ethopian Airways - gibt's eigentlich einen tieferen Grund weshalb die Betrüger Awards auf den Fremairlines buchen?
Abgesehe davon bekommt M&M IT Security es nicht gebacken, Account ausreichend zu sichern. Die schreiben mir am 22.2.24:
Das "Deaktivieren" hat nicht funktioniert oder das vorrübergehend war nur 5 Tage? Ich habe keine LoginDaten geändert, weil ich die bereits nach dem ersten Betrug geändert hatte. Ausserdem sind die ja offensichtlich nicht sicher - klaro 5-stellige PINs waren noch nie sicher!
Die haben nicht verstanden, dass es nicht die Zugangsdaten sind, sondern die Einlösefunktion OHNE ZFA. Von mir aus kann auf meinem Konto alle Zugriff haben, solange sie nichts verändern können, mir egal!
Ändere ich email Adresse auf eine ähnlich mit anderer Domaine, finden die Betrüger das recht schnell udn die PIN dann halt auch wieder innerhlab von Minuten.
das glaube ich nicht!Ich vermute mal das Du auf deinen Geräten ein Datenleck hast...
M&M sagt "Meileneinlösung wird blockiert" - wird nicht blockiert
5-stellige PINs knackt dir ein Anfänger nach ein paar Stunden!
Ein schlauer Betrüger wandert nach einem Fehlversuch bzw. wenn er erwischt wird weiter und versucht es bei einem anderen Opfer...
jetzt nochmals: der pure Zugang zu meinem Account ist mir egal - es geht darum, dass M&M (=LHG) die Nutzung der Meilen nicht ordentlich schützt wie ein Bank mein Geld!
Genau weil der Betrüger normalerweise weiter wandert, hier nicht, denn es wir mit 5-stellige rPIN viel zu einfach gemacht, Zugang zu kriegen und dann alle Meilen frei einzusetzen.
Man könnte das auch entspannen, indem man die Buchung für Fremdpersonen unterbindet oder Einkäufe nur an Adresse die hinterlegt ist. Änderung ja nur über ZFA.
Betrüger wissen, dass LH hier ein Problem hat und setzen genau dort an!
Es war nicht auch zufällig die Ehefrau?
Payback Punkteklau
Hallo zusammen, man liest ja viel darüber und ist mir gerade passiert: Soeben wurden bei mir und bei meiner Frau Punkte eingelöst. Unsere Mailkonten sind sicherlich nicht gehackt und die Passwörter nicht identisch mit anderen verwendeten Passwörtern. Jemand eine Idee wie das angehen kann?
www.vielfliegertreff.de
Wer den Schaden hat, ... Sorry!
Nutzt Du Dienstleister wie Award Wallet um u.a. dir einen Überblick über deine Meilen/Punkte Konten zu verschaffen?
K85GJJ YANG/HONGBO MR, K74OIZ FU/XINYUE MRS,K5JSHB QU/CHUNBAO MREs war nicht auch zufällig die Ehefrau?
Payback Punkteklau
Hallo zusammen, man liest ja viel darüber und ist mir gerade passiert: Soeben wurden bei mir und bei meiner Frau Punkte eingelöst. Unsere Mailkonten sind sicherlich nicht gehackt und die Passwörter nicht identisch mit anderen verwendeten Passwörtern. Jemand eine Idee wie das angehen kann?
Wer den Schaden hat, ... Sorry!
von Äthopien nach Shanghai in Business Class - ganz sicher war das meine Frau!
ANZEIGE
![300x250]()
Ganz ehrlich: Wenn die nach einer Pin Änderung gleich wieder zugriff auf deine Meilen haben, sind die entweder in deinem Emailpostfach oder auf deinem Gerät oder auf beidem.Ich vermute mal das Du auf deinen Geräten ein Datenleck hast...