Hackerangriff auf Miles&More - Meilenkonto überprüfen

[Anonym-36803]

ANZEIGE

Es hat auch eine PIN. Wobei der Lufthansa die Versuche von 00000 bis 99999 auffallen sollten. Außerdem muss auch noch die 12-stellige Kartennummer erraten werden ohne 9920 & Co. Und das dauert länger

Deswegen meinte ich ja, nur eine einzige PIN pro Account auszuprobieren und wenn diese nicht funktioniert die gleiche PIN bei der nächsten Kartennummer probieren. Das sollte dann nicht so einfach auffallen - einzig vielleicht durch die hohe Zahl von Anfragen von einer IP-Adresse.

 

[asdf32333]

Deswegen meinte ich ja, nur eine einzige PIN pro Account auszuprobieren und wenn diese nicht funktioniert die gleiche PIN bei der nächsten Kartennummer probieren. Das sollte dann nicht so einfach auffallen - einzig vielleicht durch die hohe Zahl von Anfragen von einer IP-Adresse.

Dqfür haben wir das Botnetz mit unterschiedlichen IPs

 

[hansiflyer]

Deswegen meinte ich ja, nur eine einzige PIN pro Account auszuprobieren und wenn diese nicht funktioniert die gleiche PIN bei der nächsten Kartennummer probieren. Das sollte dann nicht so einfach auffallen - einzig vielleicht durch die hohe Zahl von Anfragen von einer IP-Adresse.

Und auch die kann man automatisiert wechseln.

 

[absinthmeister]

Mein Passiv-FTL Konto is noch sauber... Hoffentlich bleibt das so, brauche nur noch ca 3-4 DM Zahnbürsten über Payback zum Föööööörst-Award

 

[Worldtraveler42]

Es hat auch eine PIN. Wobei der Lufthansa die Versuche von 00000 bis 99999 auffallen sollten. Außerdem muss auch noch die 12-stellige Kartennummer erraten werden ohne 9920 & Co. Und das dauert länger

Betonung liegt auf sollte. Die sich anhäufenden Hackerangriffe bei internationalen Großunternehmen zeugen allerdings davon, dass man von entweder von IT Sicherheit keine Ahnung hat, dass man sich dafür absolut nicht interessiert oder dass grundlegende Reformen nötig sind, weil bestehende Sicherheitsstrukturen überlebt sind.

Außerdem kann man AUCH einen Usernamen/PW erstellen

Was aber rein gar nichts daran ändert, dass der Zugang Nummer/Pin bestehen bleibt. Und es ist definitiv schwieriger per BF einen Benutzernamen und PW zu erraten wie Nummer + Pin.

So oder so ist es wahrscheinlich einfach die Kombinationen aus Nummern und Pin zu testen als Usernames und PWs durchzuprüfen. Wer würde wissen, dass sich hinter der M&M Nummer 9920 0123 4567 890 mit Pin 1234 ein gewisser User namens DjOetzihatmassigSwag mit dem Passwort @ngel@Merkelistnichtsexy versteckt?

 

[asdf32333]

Ich sehe da leider nur eine vorübergehende Lösung: Captchas à la Hilton mit abschließender Abschaffung der PIN (Kartennummer bleibt ja bei Hilton auch erhalten als Username)

 

[Nordi]

Captchas helfen gegen Hobby Programmierer mit wenig Zeit. Aber wohl kaum gegen solche Angriffe. Die Software für die Dinger ist wahrscheinlich leichter zu erwerben als der Zugang zu einem guten Botnetz.

Der Hinweis mit den Kartennummern und der PIN ist gut. Das macht die Sache doch deutlich einfacher.

 

[f0zzyNUE]

bei KLM/AirFrance werden nach dreimalig falsch eingegebenem Passwort die Accounts knallhart gesperrt. Man muss sich dann an den Kundenservice wenden, um sie wieder zu entsperren. Mit Brute Force hätte man dort kein Glück.

 

[Raute]

bei KLM/AirFrance werden nach dreimalig falsch eingegebenem Passwort die Accounts knallhart gesperrt. Man muss sich dann an den Kundenservice wenden, um sie wieder zu entsperren. Mit Brute Force hätte man dort kein Glück.

Doch klar. Wie Worldtraveler42 schon angesprochen hat, kann man für viele Accounts die gleiche PIN ausprobieren.

 

[Anonyma]

HONs haben auch bei Hackern höchste Priorität auf der Warteliste. Da lohnt es sich ja am meisten.
Mein popeliges FTL-Konto haben sie jedenfalls verschont.

Na, also wenn ich hier so lese dürften so manche Altpapiersammler, Vieltelefonierer, DKB-Kunden usw. mehr Prämienmeilen haben als ich

Im Moment sind meine Meilen aber auch alle noch da...

 

[flyglobal]

Alle Meilen noch da!
Aber auch kein einfach Passwort!

 

[no_way_codeshares]

Seit meinem letzten Besuch hat sich wenig geändert: immer noch "0" Statusmeilen, es sind ca 7.500 Prämienmeilen dazugekommen und 2 e-Vouchers verschwunden.

 

[Anonyma]

Trotzdem geht das eigentlich nur, sollte M&M nicht nach X Fehlversuchen das Konto, und sei es nur vorübergehend, sperren. Was in der heutigen Zeit eigentlich Standard sein sollte.
.

Tun sie das eigentlich nicht (mehr)? Ich kann mich erinnern, dass ich mal den Fall hatte, dass ich mich mit Benutzername und Passwort nicht mehr einloggen konnte. Und auf meinen Anruf hin wurde mir dann gesagt, es hätte insgesamt (offensichtlich zählten da alle Fehlversuche über einen längeren Zeitraum addiert, nicht 3 hintereinander oder so) zu viele falsche Eingaben gegeben. Mit Kartennummer und PIN konnte ich mich damals aber noch einloggen (mein Konto war also nicht gesperrt).

Wobei ich da aber fast davon ausgehe, dass das damals meine eigenen Fehlversuche waren (u.a. diese blöde französische Tastatur in der Arbeit, wo ich anfangs fast grundsätzlich vergessen habe, bei Zahlen die Strg-Taste zu drücken…)

 

[Temposünder]

Hier auch noch alles da. Schade eigentl. jetzt muss ich mir weiterhin den Kopf zerbrechen, wie die wegkommen.

 

[hansiflyer]

Hier auch noch alles da. Schade eigentl. jetzt muss ich mir weiterhin den Kopf zerbrechen, wie die wegkommen.

Geschenke nehme ich jederzeit gerne entgegen.

 

[asdf32333]

Ich warte auf eine Kopie der jetzigen Hilton-Aktion (1k Meilen für Passwortänderung ).

 

[cold_play]

Bei mir ist auch noch alles da.

Vermute mal hier wurden einfach Kartennummern und Passwörter durchprobiert wenn es keine Sperre nach x Versuchen gibt. Ist ja nichts neues und wird überall ständig versucht. Hat aber wenig mit einem "Hackerangriff" auf das System zu tun.

 

[baeckerman83]

Ich scheine betroffen. Seit der Meldung bei SPON ist mein Konto nicht aufrufbar. Habe eben angerufen, ist gesperrt und Auskunft kann man mir nicht geben.

 

[Sid]

Lufthansa Miles and More: Hacker knacken Konten von Vielfliegern - Handel + Konsumgüter - Unternehmen - Handelsblatt

Persönliche Daten wie Name, Adresse, Reisedaten oder gar Kontonummern hätten die Angreifer dabei in keinem Fall abgreifen oder auch nur einsehen können.

Wie ist das möglich, wenn die Angreifer Zugriff auf mehrere Hundert M&M-/LH-Accounts hatten? Dort stehen doch sämtliche Daten drin...

 

[maxbluebrosche]

Die Hilton Honors Diskussion bitte hier weiterführen:

http://www.vielfliegertreff.de/hilt...passwort-pin-nutzung-nicht-mehr-moeglich.html

 

[VBird]

Hier auch noch alles da. Schade eigentl. jetzt muss ich mir weiterhin den Kopf zerbrechen, wie die wegkommen.

Nun bist Du doch schon mehr als ein Jahr dabei. Da hättest Du doch schon zig Vorschläge aus dem Forum mitnehmen können.
Z.B. Du suchst Dir ein Flugziel aus, vorzugsweise in den US of A.
Dann rufst Du bei M&M an (natürlich nicht etwa JETZT, wo meine sämtlichen Banken erreichbar wären) und teilst denen Dein Wunschziel mit. Nach einiger Suchzeit und mehrfacher Verschiebung Deiner Wunschtermine einigt Ihr Euch dann auf Hin- und Rückflugstermine, Dein Meilenkonto wird reduziert, Du zahlst noch echtes Geld für ein paar popelige Steuern und Gebühren (etwa 150% des Preises für denselben Flug, wenn Du ihn einfach in Ruhe selber am Computer ohne das M&M-Gedöns gekauft hättest) und dann freust Du Dich wie ein Schneekönig, dass Du Deine Meilen jetzt richtig sinnvoll eingesetzt hast.
Wo ist das Problem ?


------

Ach so, ich habe jetzt übrigens 2500 Meilen mehr auf meinem Konto als vor dem "Hackerangriff".

 

[Temposünder]

Keine Ahnung was der Hieb von der Seite soll, aber ich glaube Du hast einfach meinen Post missverstanden.

 

[MisterG]

Keine Ahnung was der Hieb von der Seite soll, aber ich glaube Du hast einfach meinen Post missverstanden.

Nein, hat er nicht. Er ist nur sauer, dass er nicht auf Meilen auf die Prince-George-Inseln fliegen konnte. Oder wars ins Takatukaland?

 

[Individualurlauber]

Keine Ahnung was der Hieb von der Seite soll, aber ich glaube Du hast einfach meinen Post missverstanden.

Einfach ignorieren

 

[VBird]

ANZEIGE

Keine Ahnung was der Hieb von der Seite soll, aber ich glaube Du hast einfach meinen Post missverstanden.

Anscheinend tatsächlich. Ich hatte vermutet, wir lägen auf der gleichen Wellenlänge und Du hättest - wie viele Langzeit-Meilensammler auch - "Schwierigkeiten", eine sinvolle Verwendung für Deinen Meilenvorrat zu finden.
Dich persönlich angreifen wollte ich aber keinesfalls.