쉽게 이용할 수있는 개인 정보로 상용 고객 계정에 자주 액세스하는 것이 일반적입니까?

항공사 상용 고객 마일리지 프로그램이 공개적으로 사용 가능한 개인 정보를 사용하여 계정 액세스를 허용하는 것이 일반적인 관행입니까?

내가 사용하는 상용 고객 마일리지 프로그램 만 필요하다는 것을 (가장 불행하게도) 발견했습니다.

이메일
주소
생일

마일리지 사용, 기존 여정보기 및 변경 기능, 저장된 여권 번호 (사이트에서 사용자가 "보안을 위해 제출하도록 권장하는 사이트"와 같은 민감한 개인 정보에 대한 액세스 및 이메일 주소 변경 등)를 포함한 전체 계정 액세스 권한 부여 ( 따라서 비밀번호 재설정을 통한 전체 계정 인수 프로세스를 시작합니다).

이 느슨한 보안은 업계에서 일반적인 관행입니까?

online-resources security loyalty-programs

— 오로 메
소스

대부분의 고객 우대 계정을 사용하면 여권 또는 신용 카드 세부 정보를 업데이트 할 수 있지만 볼 수는 없습니다. 따라서 누군가 귀하의 계정에 액세스 한 경우 새 번호 만 입력 할 수 있습니다 (FF 코드가 새 카드가 카드를 저장하기 전에 유효한지 확인하지 않았다면 놀라지 않을 것입니다). 물론 이전 계정으로 전송 된 확인 이메일없이 이메일 변경을 허용해야합니까? 그렇다면 프로그램의 이름을 지정하고 부끄러운 줄 아십시오.

@raxacoricofallapatorius 당신은 그것에 대해 LoyaltyLobby에게 John에게 물어볼 수 있습니다 -그는 작년과 그 해에 많은 로열티 프로그램 위반을 다루었 고 많은 프로그램에 대한 문제를보고하는 연락처를 가지고 있습니다

— Gagravarr

다른 사람들이 자신의 계정을 강화할 수 있도록 프로그램의 이름을 지정하고 수치심을 느끼십시오.

내 경험에 @raxacoricofallapatorius 공공 shaming은 보안 사람에게 공손 이메일보다 10 배 빠르게 작동

— JonathanReez

당신이 유효한 관심사를 가지고 있다면 개인적으로 이것에 아무런 문제가 없습니다. 회사의 트위터 계정에 게시하는 것이 때로는 매우 효과적입니다.

— RoflcoptrException

아니! 이것은 일반적이지 않습니다. 내가 사용한 모든 FF 프로그램 (델타, 남서부, 대한 항공 등)에는 모두 암호가 필요합니다.이 경우는 드물지만, 발견 한 이유로 절대적으로 끔찍한 보안 관행입니다.

주요 프로그램이 현재이를 처리하는 방법에 대한 몇 가지 예는 다음과 같습니다.

델타

델타 웹 사이트에는 정상적으로 로그인하려면 사용자 이름과 비밀번호가 필요합니다.

비밀번호를 잊어 버린 경우 이름과 이메일 주소를 입력해야하며 비밀번호를 해당 이메일 주소로 변경하기위한 링크를 보내므로 해당 이메일 계정을 제어하여 재설정해야합니다.

사용자 이름 또는 스카이 마일스 번호를 잊어 버린 경우 다시 이메일 주소와 이름을 입력하면 사용자 이름이 이메일로 전송됩니다.

남서

사우스 웨스트 웹 사이트에는 정상적으로 로그인하려면 사용자 이름과 비밀번호가 필요합니다.

델타에서와 같이 비밀번호를 잊어 버린 경우 이메일 주소와 이름을 입력하면 비밀번호 변경 링크가 이메일로 전송됩니다.

사용자 이름 / 계정 번호를 잊어 버린 경우 이름, 우편 번호 및 전자 메일 주소를 입력 한 다음 보안 질문에 대답 해야 사용자 이름 및 계정 번호가 제공됩니다. 원래 이메일 주소에 액세스 할 수없는 경우 이메일 을 변경하려면 이름, 우편 번호, 이전 이메일 주소 및 계정 번호 를 입력해야합니다.

해결 방법

문제의 프로그램이 '큰 물고기'라고 말합니다. 주요 동맹 (OneWorld, Star Alliance 또는 SkyTeam) 중 하나에 속할만큼 충분히 크고 계정 보안을 신속하게 수정하지 않을 경우 다른 구성원 중 한 곳에서보다 안전한 FF 프로그램에 참여하는 것이 좋습니다. 같은 동맹을 맺고 대신 해당 프로그램에 대한 항공편을 적립하십시오. 그들 대부분은 왕복 마일리지 적립 및 보너스는 물론 동맹의 다른 회원 항공사와 어느 정도의 상호 엘리트 혜택을 제공합니다.

— 레이브
소스

분명히하기 위해 : 로그온하려면 계정 번호와 비밀번호가 필요합니다. 그러나 전화로 표시된 품목에 마일을 사용하거나 개인 데이터를 암송 할 수 있습니다. 또는 이메일 주소를 변경하여 계정을 삭제할 수있는 이메일 주소를 변경하십시오 (이전 주소를 확인하지 않아도됩니다!). 나는 마일을 낭비했고 (그것을 알았으므로) 전자 메일을 변경하려는 시도를 중단 할 수있었습니다. 그러나 내가 지금 가지고있는 유일한 "보안"은 제안 된 주소를 사용하는 것입니다. 도난당한 마일은 적립되지 않았습니다.

— orome

@raxacoricofallapatorius 아, 당신은 전화를 통해 의미. 귀하의 질문에 대한 이해는 웹 사이트를 통해 발생한 것입니다. 전화에 관한 한 델타는 보통 내가 전화 한 전화 번호로 나를 인식합니다. 불행히도 사회 공학을 사용하여 인간이 무언가를하도록 속이는 것은 기술적 조치를 물리 치는 것보다 훨씬 쉽습니다. 그것은 당신의 마일에 관한 악취입니다. 귀하의 계정이 도용되었다는 것이 전적으로 잘못된 점을 고려할 때, 그들이 곧 마일리지 적립에 동의하지 않으면 공개적인 쉐이 밍 권장 사항에 동의해야합니다.

— reirab

마일로 예약 한 내용을 쉽게 볼 수 있어야하며, 예약 한 사람의 이름이 있습니까? 탑승 할 때 신분증을 제시해야하므로 반드시 실명이어야합니다. 나는 경찰이 그를 얻을하는 것이 간단 말하고 싶지만, 그것은 분명히했다 도난 .

— Aganju

@Aganju 나는 그들이 그것과 함께 비행기 이외의 것을 사야 할 것 같지만, 그것으로 비행기를 예약한다면 당신은 옳습니다. 최소한 OP는 자신이 한 일을 볼 수 있어야합니다.

— reirab

@Aganju이 사기 행위는 공격자가 임박하여 출발하고 좋은 거래를 찾고자하는 제 3 자에게 항공편을 판매하는 것입니다. 일반적으로 돈은 추적 할 수없고 돌이킬 수없는 시스템에 의해 교환됩니다. 비행기를 타는 제 3자는 그것이 사기인지 알지 못하거나 관심이 없습니다. 당신이 그를 체포하면 그가 불법에 대한 공범임을 증명하기 어려울 것입니다. 공격자는 빠르게 움직입니다. 그는 돈이있다 이런 종류의 마일 사기는 실제로 Interpol 우선 순위 목록에 있습니다. (또한 전 세계 모든 항공편에서 ID를 요구하는 것은 아닙니다.)

— Calchas