IHG Konto geknackt, wie in Zukunft verhindern ?

ANZEIGE

Pax vobiscum

Erfahrenes Mitglied
21.12.2009
4.107
197
kurz vor BER, ♂
ANZEIGE
Übers WE wollten ein oder mehrere Chinesen ( lt. Auskunft IHG ) mit meinen Punkten Hotelübernachtungen in New York für nächstes WE buchen.

Habs rechtzeitig gemerkt, Punkte sind schon wieder auf meinem Konto.

Gibt es eine Möglichkeit eine sichere PIN einzurichten ?

Eine nur 4-stellige Nummer sollte heutzutage doch wohl nicht mehr verwendet werden.

Pennen die bei IHG ? :censored:
 
  • Like
Reaktionen: stephanb

B Stromberg

Aktives Mitglied
15.04.2009
199
0
Absolut unglaublich. Bei einer Firma dieser Größe eigentlich ein Skandal. Wurde auch schon vor Ewigkeiten auf FT besprochen.

Wenn man allerdings die sonstigen Glanzleistungen der IT-Abteilung bei Promotions sieht - verwundert es vieleicht nicht mehr so ganz.

Hatte allerdings auch schon 2 Mal Buchungen für Fremde in meinem IHG-Konto. Allerdings ohne Punkte. Da haben die einfach nur gepennt. Einmal hatte der Hotline-Mitarbeiter meine Mitgliedsnummer für den Anrufer nach mir benutzt. Das andere Mal war völlig suspekt. War aber anscheinend etwas ähnliches.
 
Zuletzt bearbeitet:

PAX

Erfahrenes Mitglied
30.07.2017
392
0
Pennen die bei IHG ? :censored:
Ja, absolut. 4-stellige PIN, noch nicht mal mit Captcha gesichert -> viel schlechtere Sicherheitspraktiken sind kaum vorstellbar.

Der Vorposter hat schon auf den - lesenswerten - FT-Thread verwiesen. Außer der Hoffnung, dass zahlreiche Kunden auf IHG zugehen und sich beschweren, gibt es sonst nicht groß was dazu zu sagen.
 
  • Like
Reaktionen: alexanderxl

kaebo

Erfahrenes Mitglied
29.01.2011
258
0
GRZ/LNZ
Übers WE wollten ein oder mehrere Chinesen ( lt. Auskunft IHG ) mit meinen Punkten Hotelübernachtungen in New York für nächstes WE buchen.

Selbiges war bei mir auch.
40,000 meiner Punkte hat ein Chinese für eine Nacht im Candlewood NY Times Square ausgegeben (Übernachtung war im Oktober 2016 - gemerkt habe ich es erst vor wenigen Tagen, da ich das IHG Konto selten benutze...). Eine xxx@sina.com-Email Adresse war hinterlegt...
 

PAX

Erfahrenes Mitglied
30.07.2017
392
0
Haben diejenigen von euch, die gehackt wurden, nachgesehen, ob bereits ein anderer eurer Accounts kompromittiert wurde? Berichtet doch mal hier im Thread. Falls ihr das bislang nicht geprüft habt, gebt eure Mail-Adresse doch auf einer einschlägigen Seite wie haveibeenpwned.com ein.
 

Pax vobiscum

Erfahrenes Mitglied
21.12.2009
4.107
197
kurz vor BER, ♂
Das war mein erster Hack überhaupt. Der Test bringt :

Anti Public Combo List logo
Anti Public Combo List (unverified): In December 2016, a huge list of email address and password pairs appeared in a "combo list" referred to as "Anti Public". The list contained 458 million unique email addresses, many with multiple different passwords hacked from various online systems. The list was broadly circulated and used for "credential stuffing", that is attackers employ it in an attempt to identify other online systems where the account owner had reused their password. For detailed background on this incident, read Password reuse, credential stuffing and another billion records in Have I been pwned.

Compromised data: Email addresses, Passwords
Last.fm logo
Last.fm: In March 2012, the music website Last.fm was hacked and 43 million user accounts were exposed. Whilst Last.fm knew of an incident back in 2012, the scale of the hack was not known until the data was released publicly in September 2016. The breach included 37 million unique email addresses, usernames and passwords stored as unsalted MD5 hashes.

Compromised data: Email addresses, Passwords, Usernames, Website activity
Neteller logo
Neteller: In May 2010, the e-wallet service known as Neteller suffered a data breach which exposed over 3.6M customers. The breach was not discovered until October 2015 and included names, email addresses, home addresses and account balances.

Compromised data: Account balances, Dates of birth, Email addresses, Genders, IP addresses, Names, Phone numbers, Physical addresses, Security questions and answers, Website activity

Bei lastfm und neteller war ich mit der mailadresse registriert, diese ist allerdings zwar nur Drittadresse bei GMX, nach meinem damaligen Kenntnisstand kann man sich bei GMX jedoch auch mit diesen und den funadressen einloggen.

Mein GMX Kennwort ( betrifft auch alle anderen ) ist über 12 Zeichen lang, steht nicht im Duden und enthält Buchstaben und Sonderzeichen. Am Account ist ab und zu mal einer dran und versucht sich.

Deshalb habe ich mir jetzt neu ein Konto bei mail.de angelegt und 10 Aliasadressen eingerichtet. Mit den Aliasadressen ist ein Einloggen nicht möglich.
Weiterhin hole ich alle Mails per pop dort ab, so dass ein Eindringling ein leeres Postfach findet.

Da meine anderen Accounts mit der GMX Adresse nicht betroffen sind, vermute ich, daß der 4 PIN geknackt wurde.
 

PAX

Erfahrenes Mitglied
30.07.2017
392
0
Da meine anderen Accounts mit der GMX Adresse nicht betroffen sind, vermute ich, daß der 4 PIN geknackt wurde.
Das denke ich auch.

Vermutlich werden die Hacker die PIN zwar per brute force hacken, aber bei den E-Mails werden sie sich sicherlich auf die E-Mail-Adressen zu konzentrieren versuchen, die bekanntermaßen mit IHG-Accounts verknüpft sind.

Mich interessiert nur, woher die die Mails haben. Eine Möglichkeit wäre natürlich der Data Breach bei IHG, siehe hier. Aber auch Mailadressen von Data Breaches bei Airlines oder anderen Hotels wären sicherlich Kandidaten.

EDIT: Vielleicht denke ich hier aber in die falsche Richtung. Zugriff ist schließlich auch per Account-Nr. + PIN möglich.
 

MisterG

Stein-Papier-Schere Profi
02.01.2012
10.555
5
Wien
IHG wird sicherlich die bald die AGB ändern und jeden gehackten Account auf ewig sperren. Denn daran kann nur der Kunde schuld sein. IHG und ihre IT sicher nicht!

:eek:
 
  • Like
Reaktionen: alexanderxl

Star Alliance

Erfahrenes Mitglied
27.11.2011
384
13
MUC
da hatte ich vergangene Woche mehr "Glück": Gutschrift von ~3.000Punkte für einen Stay mit drei Übernachtungen im HI Melaka. Ich habe weder dieses Hotel gebucht noch war ich dort.
Entweder ein Versehen von IHG oder jemand hat sich auch auf meinem Konto Zutritt verschafft. In jedem Fall habe ich mal schnell meine PIN geändert, aber ob das etwas bringt, sei dahingestellt.
 

Perisai

Meilenausquetscher
31.08.2012
2.141
121
LON
Es scheint sich in der Hinsicht etwas bei IHG zu tun; zumindest ist mir die nachfolgende Einschränkung gestern bei einer Punktebuchung für HKG das erste mal aufgefallen:

Zusätzliche Einschränkungen für Gäste:
For your account security, the following restrictions apply: In order to add an additional guest, the original booking member must either call the IHG Rewards Club Service Center to provide the additional guest information no less than 7 days prior to the check-in date, or be present at the time of check-in at the hotel to provide identification. To change any provided information, the member must follow the same procedure mentioned above. Please refer to member terms and conditions for more details.

Ändert zwar nichts an der lächerlichen Pin, aber immerhin (theoretisch) eine zusätzliche Absicherung.
 
  • Like
Reaktionen: alexanderxl

Paschendale

Erfahrenes Mitglied
30.01.2017
1.457
0
Übers WE wollten ein oder mehrere Chinesen ( lt. Auskunft IHG ) mit meinen Punkten Hotelübernachtungen in New York für nächstes WE buchen.

Habs rechtzeitig gemerkt, Punkte sind schon wieder auf meinem Konto.

Gibt es eine Möglichkeit eine sichere PIN einzurichten ?

Eine nur 4-stellige Nummer sollte heutzutage doch wohl nicht mehr verwendet werden.

Pennen die bei IHG ? :censored:

Mir ist das nicht ganz klar. Wenn jemand den Account hackt, kann er doch nur über diesen Account buchen. Die Buchung erscheint also im Account und wird als Bestätigungsmail verschickt. Desweiteren würde der Betrug bei Anreise doch auffallen und man könnte den Betrüger sofort verhaften.
 

Pax vobiscum

Erfahrenes Mitglied
21.12.2009
4.107
197
kurz vor BER, ♂
Die machen das aber trotzdem. Wahrscheinlich schaut nicht jeder in seine Mails. s.Post 4

Selbiges war bei mir auch.
40,000 meiner Punkte hat ein Chinese für eine Nacht im Candlewood NY Times Square ausgegeben (Übernachtung war im Oktober 2016 - gemerkt habe ich es erst vor wenigen Tagen, da ich das IHG Konto selten benutze...). Eine xxx@sina.com-Email Adresse war hinterlegt...

Ich habe auf das Mail von IHG
Thank you for updating your email address in your IHG Rewards Club account profile. If you did not request this change, please let us know immediately by contacting the IHG Rewards Club Customer Care Center.
sofort reagiert.

Da hatten die Chinesen allerdings schon wieder auf meine Mailadresse rückgeändert, ich hatte also Kontozugang.
 

Foxfire

Füchslein
10.09.2012
5.238
547
MUC/EDMM
IHG-Account gehackt, Punkte für fremde Buchung gestohlen

Zur Info an alle, die bei IHG fleißig Punkte sammeln.

Plötzlich erhalte ich von (m)einer speziellen Smartphone-App, die all meine FFP-Meilen, Hotel-Punkte, Rental-Progresses und all' meine Reservationen tracked, die Meldung, dass ich einige Nächte im IC in L.A. gebucht hätte.
Habe mich sofort in meinen IHG-Account eingeloggt und gesehen, dass für meine gesamten Punkte des Accounts besagtes Hotel gebucht worden ist (allerdings für eine mir fremde Rewardsnr.).
Habe daraufhin die Reservation ge-canceled. Punkte gab's zum Glück zurück. Einen Tag später und der/die Fremde hätte bereits die erste Nacht auf meine Punkte im IC L.A. verbracht.

PIN habe ich selbstverstänlich sofort geändert. Kann man denn seinen Account nicht mit einem Password schützen?

Meldung an IHG incl. ScreenShot und Verweis auf die fremde IHG-Nr. in der Reservierung (obwohl es meine Punkte waren).
Von IHG kam natürlich ... bis heute keinerlei Reaktion.

Also, liebe Mitforisten und stille Mitleser: checkt Eure IHG-Accounts, ob da nicht kurzfristig jemand mit Euren Punkten ein paar Rewardsnächte irgendwo in der Welt verbringt
 

Foxfire

Füchslein
10.09.2012
5.238
547
MUC/EDMM
Weil ich g'rad' jede Menge Mails mit der Frage bekomme, welche App ich verwende:

Es handelt sich um AwardWallet. Das gibt's als App für Android, iPhone und WindowsMobile. Außerdem kann man sich zusätzlich von jedem PC dieser Welt via Webbrowser in seinen Account einloggen. Ist echt praktisch, gerade wenn man auf Reisen bist. Zudem sieht man auch sofort, wenn sich der Reservierungsstatus von "CONFIRMED" auf "MODIFIED" ändert. Das bedeutet meist ein Upgrade... :)
Auch Änderungen der Flugzeiten oder Cancelations werden zeitgerecht getrackt.

Die App prüft selbständig zu frei wählbaren Zeiten die Status (Plural: sprich langes "U", also Statuuuuuus <-- u-Deklination) von Reservierungen, FFP-Status, Car rental-Status, Meilen, Punkte, etc.
Kann sogar Payback und DeutschlandCard abfragen, falls gewünscht.
 
Moderiert:
  • Like
Reaktionen: Alex6

scared

Aktives Mitglied
07.04.2015
184
36
Karlsruhe
Mich hat es gestern Abend auch erwischt. 150k Punkte abgeräumt. Zum Glück hatte ich es 2h später gemerkt da meine account daten auf eine chinesische adresse abgeändert wurde und ich deswegen eine email bekommen hatte. Ansonsten hätte ich es wohl auch nicht so schnell gemerkt.
Laut Hotline wurde mein konto auf eis gelegt und ein case angelegt. Ich soll in drei Tagen nochmal anrufen, dann wird ein neues konto angelegt. Dazu benötige ich eine email adresse die bisher nicht mit dem konto verknüpft war.

anschliessend soll alles rübertransferiert werden. Hoffentlich auch die fehlenden Punkte.
hat jemand Erfahrungen wiegut das klappt?
 
Zuletzt bearbeitet:
  • Like
Reaktionen: pumpuixxl

Paschendale

Erfahrenes Mitglied
30.01.2017
1.457
0
Mich hat es gestern Abend auch erwischt. 150k Punkte abgeräumt. Zum Glück hatte ich es 2h später gemerkt da meine account daten auf eine chinesische adresse abgeändert wurde und ich deswegen eine email bekommen hatte. Ansonsten hätte ich es wohl auch nicht so schnell gemerkt.
Laut Hotline wurde mein konto auf eis gelegt und ein case angelegt. Ich soll in drei Tagen nochmal anrufen, dann wird ein neues konto angelegt. Dazu benötige ich eine email adresse die bisher nicht mit dem konto verknüpft war.

anschliessend soll alles rübertransferiert werden. Hoffentlich auch die fehlenden Punkte.
hat jemand Erfahrungen wiegut das klappt?

Den Namen im Konto kann man doch nicht ändern. Was bringt es nun, wenn jemand in deinem Account zu deinem Namen eine chinesische Adresse nimmt? Und wenn du siehst, welches Hotel er für welchen Zeitraum bucht, kann ihn dort die Polizei doch sofort verhaften. Mit ist absolut unklar, was das Hacken von Punktekontos bringen soll.
 

Pax vobiscum

Erfahrenes Mitglied
21.12.2009
4.107
197
kurz vor BER, ♂
Warum werden die betrügerischen Chinesen nicht verhaftet, wenn sie anreisen?

weil die Chinesen dann schon weg sind, wenn die User, die nicht regelmässig ins Konto schauen, den Diebstahl bemerken.

s. Post 4.
(Übernachtung war im Oktober 2016 - gemerkt habe ich es erst vor wenigen Tagen, da ich das IHG Konto selten benutze...).
 
Zuletzt bearbeitet: