LH-M&M-Prämienmeilen gestohlen

[janetm]

ANZEIGE

Hier hatte das mal besser geklappt mit der Rückbuchung.

https://www.vielfliegertreff.de/miles-more/80902-miles-more-giftcard-auf-kontoauszug.html

Euch viel Erfolg.

 

[Travelling_Geek]

Der Mitarbeiter von Miles & More hat bei seinem Vorgesetzten nachgefragt und der ließ ausrichten, dass der Dieb ein neues Passwort angefragt hat über meine EMail-Adresse und dementsprechend Zugang zu meinem Account hatte, um das neue Passwort zu erhalten. Allerdings braucht man ja auch die Servicekartennummer und die steht ja nicht in dem Email-Account. Daher verstehe ich das alles nicht. Außerdem sollte doch Miles & More gegen so etwas versichert sein? Unglaublich ist, dass ich von der Security Abteilung seit zwei Wochen nichts gehört habe. Nur durch meine ständigen Telefonate mit Miles & More bekomme ich tröpfchenweise Infos. Das ist ein katastrophaler Service und der Dieb sicher schon über alle Berge.

Es gibt diverse Wege, an Deine Account-Daten zu kommen.

1. Deine Account-Daten (Nutzername/E-Mail-Adresse, M&M-Nummer) wurden IRGENDWO geklaut. Nicht notgedrungen von den M&M-Servern. Sondern von einem Online-Dienst, bei dem Du diese Daten verwendet hast.
   Mein Tipp wäre: bei einem Hotel. Diverse (große) Ketten wurden gehackt in den letzten Jahren (Marriott/Starwood, Radisson, Mandarin Oriental, Hyatt, IHG). Nachdem man ja gern seinen Vielflieger-Account bei den Hotel-Programmen hinterlegt, ist das für Datendiebe One Stop Shopping: sie bekommen in einem Aufwasch Deinen Namen, Deine E-Mail-Adresse, Deine Postanschrift, Deine Telefonnummer, Deine Vielfliegernummer und Zugriff auf das Hotel-Programm.
   Deine Daten können aber natürlich auch sonstwo unter die Räder gekommen sein, häng Dich nicht an dem Hotel-Beispiel auf. Nur Du weißt, wo Du Deine M&M-Nummer angegeben hast. Und nur weil nicht bekannt wurde, dass dieser oder jener Online-Dienst gehackt wurde, heißt das noch lange nicht, dass es nicht schon längst passiert ist.
   
2. Dein E-Mail-Account wurde "einfach so" gehackt. Ich lehne mich aus dem Fenster und behaupte, dass Dein E-Mail-Account nicht sonderlich gut geschützt ist.
   Meint:
   • Keine Zwei-Faktor-Authentifizierung beim Login per Browser
   • das Passwort wird/wurde irgendwo anders auch verwendet (Passwort Recycling). Eventuell bei dem Dienst, der ursprünglich gehackt wurde oder irgendeinem der knapp 400 (großen) Online-Dienste, die in den letzten Jahren gehackt wurden (um rauszufinden, ob Deine E-Mail-Adresse schon mal in einem Leak war, gib die Adresse einfach mal auf bei Have I been Pwned ein).
   • Oder es ist kein besonders originelles (da selbst ausgedachtes) Passwort und somit anfällig für Password-Spraying; in diesem Fall würde es genügen, wenn der Angreifer die E-Mail-Adresse kennt und einen Zufallstreffer landet.
3. Hat ein Angreifer erstmal Zugriff auf Deinen E-Mail-Account, ist in aller Regel Game Over für Dich. Zum einen findet er darin Hinweise auf ein vorhandenes Miles & More-Konto. Zum anderen hat er alles in der Hand, was für einen Passwort-Reset nötig ist.
   Solltest Du die Lufthansa ID verwenden, ist es für den Dieb noch leichter: E-Mail-Adresse = Lufthansa ID (siehe Screenshot)
   

P.S: Von Kollege zu Kollegin: Das Einschalten der Presseabteilung bei einem privaten Problem finde ich fragwürdig. Zumal dann, wenn der Anbieter wahrscheinlich so gar nix dafür kann, dass Du beklaut wurdest (siehe Ausführungen oben). Für M&M dürfte der Fall erledigt sein, da sie einen erfolgreichen PW-Reset nachvollziehen können. Was soll deren Security-Team da noch weiter tun?

 

[tomnordmann]

Hallo Lisa, danke für den Tipp: Habe gestern Strafanzeige gegen Unbekannt gestellt. Wird mir aber wahrscheinlich nicht viel weiter helfen, da Lufthansa sich einfach Zeit lässt. Wenn ich bei M&M anrufe bekomme ich immer nur freundliche Worte, keiner kann was machen, ich soll einfach warten... Kann ja auch eine Taktik sein. Irgend wann wird der "Kunde" vielleicht aufgeben nachzufragen... Ich hätte eigentlich auch gedacht, ich würde ein paar Hilfreiche Worte von den Vielfliegern bekommen, aber viele "Erfahrene Mitglieder" sind wohl mehr mit sich selbst beschäftigt. Wie man an meine Meilen ran gekommen ist, weiss ich wirklich nicht. 2015 ist wohl bei der LH selbst etwas "passiert"...

 

[niemals_in_new_york]

Was soll deren Security-Team da noch weiter tun?

Naja, ein bisschen mehr werden sie ja wohl schon tun können... Bei den meisten Prämien kann man ja wohl an deren Stelle schon recherchieren, wohin sie gesendet wurden, von und/oder für wen sie eingelöst wurden etc.. Oder nicht?

Zu den anderen Posts, insbesondere der Frage, wie man an eine Servicekartennummer kommt:
Wenn man einen Gepäckanhänger "findet" - egal ob im Papierkorb am Gepäckband oder woanders, oder ob man einen solchen irgendwo abfotografiert (Gepäckabgabe, Etag am Schalter,.....), dann hat man darauf einen Buchungscode und einen Nachnamen. Darüber kann quasi jeder die komplette Buchung aufrufen, und darin wiederum findet jeder (!) auf den ersten Blick die Servicekartennummer (kann sie sogar ändern...), Telefonnummer, Emailadresse,.....
Wenn man da einen Tag sammeln würde, hätte man schnell eine Menge Daten zusammen....
Da stellt sich ja schon die Frage, ob das nicht besser gesichert werden könnte, zumindest mal beim Einlösen müsste das mit einer 2-Faktor-Autho gesichert werden können, ohne komplette Reservierungssysteme anpassen zu müssen.
Außerdem müsste es die Möglichkeit geben, sich bei jedem Aufruf oder Änderung einer Reservierung informieren lassen zu können.

 

[FarFlyer]

Aha, Journalistin! Dann also Fake News verbreiten und die eigene Unfähigkeit die Daten und Zugänge zu schützen über die Pressestelle der LH anlasten. Merke: Account und Mailschutz ist Eigenschutz. Warum sollte LH Dein Problem zu Ihrem machen?

 

[Travelling_Geek]

Ich hätte eigentlich auch gedacht, ich würde ein paar Hilfreiche Worte von den Vielfliegern bekommen, aber viele "Erfahrene Mitglieder" sind wohl mehr mit sich selbst beschäftigt.

Vielflieger sind nicht unbedingt auch häufige Opfer von Meilendieben... ich würde soweit gehen und behaupten, dass es sogar umgekehrt ist.

Wie man an meine Meilen ran gekommen ist, weiss ich wirklich nicht. 2015 ist wohl bei der LH selbst etwas "passiert"...

War bei meiner Erläuterung ein paar Beiträge über diesem nichts Erhellendes dabei?

 

[tomnordmann]

Danke, Travelling Geek für die Info. Ich bin "Leser" beim Vielfliegertreff seit fünf Jahren und habe so manch einen wertvollen Hinweis bekommen. Meine Bemerkung über die "Beschäftigung" der Vielflieger war keineswegs böse gemeint. Ich beobachte gerne wie man sich mit den Brotsorten und Snacks im Flugzeug beschäftigt und über den Einsatz von Payback bei Real und anderen Firmen und dachte, irgend jemand hätte für mich auch ein bisschen Zeit und würde sich melden und mir einen Vorschlag geben, wie ich Lufthansa dazu bewegen könnte, wenigstens mein Meilenkonto wieder zu öffnen, auch wenn die gehackten Meilen (vorerst?) nicht wieder zurückgebucht werden.

 

[Travelling_Geek]

Danke, Travelling Geek für die Info. Ich bin "Leser" beim Vielfliegertreff seit fünf Jahren und habe so manch einen wertvollen Hinweis bekommen. Meine Bemerkung über die "Beschäftigung" der Vielflieger war keineswegs böse gemeint. Ich beobachte gerne wie man sich mit den Brotsorten und Snacks im Flugzeug beschäftigt und über den Einsatz von Payback bei Real und anderen Firmen und dachte, irgend jemand hätte für mich auch ein bisschen Zeit und würde sich melden und mir einen Vorschlag geben, wie ich Lufthansa dazu bewegen könnte, wenigstens mein Meilenkonto wieder zu öffnen, auch wenn die gehackten Meilen (vorerst?) nicht wieder zurückgebucht werden.

Ich würde auf M&M zugehen und ihnen erklären, dass ich alle möglichen Einfallstore, die zu einem unberechtigten Zugriff auf meine Konten hätten führen können, dicht gemacht habe:

• PW des bisherigen E-Mail-Kontos geändert (mit Hilfe eines Passwort-Managers)
• 2FA für sämtliche E-Mail-Accounts aktiviert
• PWs für die Konten der an M&M angebundenen Programme (Hotels, Mietwagen, sonstwas) geändert
• die eigenen Rechner auf Schadsoftware überprüft (Windows Defender oder einer der gängigen Online-Scanner von Kaspersky & Co sollten genügen; in jedem Fall einen anderen Anbieter verwenden als den, den man ohnehin schon nutzt)

Anschließend M&M darum bitten, das Konto wieder aufzusperren. Oder Dir zu erklären, warum sie das nicht tun können bzw welche Bedenken sie weiterhin haben.

Sobald Du wieder Zugriff hast, machst Du das hier:

• M&M-Pin ändern
• Die E-Mail-Adresse, die M&M zur Kommunikation von Buchungen verwendet, überprüfen (die Angreifer haben dort ihre eigene eingetragen, was an sich eine Benachrichtigung an die alte Adresse auslöst)
• Nutzername für Lufthansa ID ändern auf eine ganz neue, noch nirgendwo verwendete E-Mail-Adresse (und diese Adresse dann auch künftig nirgendwo verwenden!)
• Lufthansa-ID-PW ändern/neu erstellen (mit Hilfe eines Passwort-Managers)

 

[Spock]

Zu den anderen Posts, insbesondere der Frage, wie man an eine Servicekartennummer kommt:
Wenn man einen Gepäckanhänger "findet" - egal ob im Papierkorb am Gepäckband oder woanders, oder ob man einen solchen irgendwo abfotografiert (Gepäckabgabe, Etag am Schalter,.....), dann hat man darauf einen Buchungscode und einen Nachnamen. Darüber kann quasi jeder die komplette Buchung aufrufen, und darin wiederum findet jeder (!) auf den ersten Blick die Servicekartennummer (kann sie sogar ändern...), Telefonnummer, Emailadresse,.....

Das funktioniert nicht, denn aus genau diesem Grund ist auf den Gepäckanhängern kein Buchungscode aufgedruckt. Mit den Angaben auf dem Gepäckanhängern ist kein Zugriff auf eine Buchung möglich.

 

[Anonym-36803]

Das funktioniert nicht, denn aus genau diesem Grund ist auf den Gepäckanhängern kein Buchungscode aufgedruckt. Mit den Angaben auf dem Gepäckanhängern ist kein Zugriff auf eine Buchung möglich.

Andere Airlines wie z.B. UA machen das aber durchaus. Und dann ersetze eben Gepäckanhänger durch Bordkarte. Wie oft lassen Passagiere diese in der Sitztasche liegen oder schmeißen diese unachtsam weg?

 

[hippo72]

Andere Airlines wie z.B. UA machen das aber durchaus. Und dann ersetze eben Gepäckanhänger durch Bordkarte. Wie oft lassen Passagiere diese in der Sitztasche liegen oder schmeißen diese unachtsam weg?

...oder posten sie auf Twitter/Instagram/Facebook.....

 

[libertad]

Andere Airlines wie z.B. UA machen das aber durchaus. Und dann ersetze eben Gepäckanhänger durch Bordkarte. Wie oft lassen Passagiere diese in der Sitztasche liegen oder schmeißen diese unachtsam weg?

Ich verstehe ja den Sinn dahinter überhaupt nicht, all diese Items auf den BP bzw. in den QR-Code zu drucken. Die IATA findet ja selbst, dass es die eigentlich nicht bräuchte:

... um gleich darauf bei den "mandatory items" Name, PNR & Co zu fordern.

 

[Lisa2019]

Schade, dass so unqualifizierte Kommentare in diesem Chat zugelassen werden. Als Journalistin kann ich da nur müde drüber lächeln!

Aha, Journalistin! Dann also Fake News verbreiten und die eigene Unfähigkeit die Daten und Zugänge zu schützen über die Pressestelle der LH anlasten. Merke: Account und Mailschutz ist Eigenschutz. Warum sollte LH Dein Problem zu Ihrem machen?

 

[hippo72]

Als Journalistin kann ich da nur müde drüber lächeln!

Nur aus Neugier: warum?

 

[Flying Lawyer]

Schade, dass so unqualifizierte Kommentare in diesem Chat zugelassen werden. Als Journalistin kann ich da nur müde drüber lächeln!

Schade, dass "Journalist" keine geschützte Berufsbezeichnung ist. "Journalist" kann sich ein jeder nennen, was das Leben für diesen Berufszweig schwierig macht. Die Ausnutzung von Presseausweisen zum falsch Parken, das Drängen auf Presserabatte mit Hinweis auf Veröffentlichungen oder auch der Druck auf Unternehmen durch Hinweis auf eine Tätigkeit als "Journalist" zur Durchsetzung privater Belange sind Aspekte, die die Mediengewerkschaften seit Jahrzehnten beschäftigen. Hier sehen wir ein typisches Beispiel:

Da ich Journalistin bin, habe ich jetzt die Pressestelle eingeschaltet und die versprachen mir Unterstützung.

 

[niemals_in_new_york]

Das funktioniert nicht, denn aus genau diesem Grund ist auf den Gepäckanhängern kein Buchungscode aufgedruckt. Mit den Angaben auf dem Gepäckanhängern ist kein Zugriff auf eine Buchung möglich.

Also auf den Tags, die ich hier gerade vor mir liegen habe, steht der PNR drauf. Ich habe es gerade mal eingegeben bei Lufthansa auf der Webseite ohne Einloggen, damit komme ich an die Buchung.
Auf dem E-Tag, der noch von einem der letzten Flüge auf dem Display ist, ist der PNR auch angezeigt.

Kann sein, dass es nur in bestimmten Fällen angezeigt oder aufgedruckt wird - ich habe aber in jedem Fall hier konkret gerade vor mir Beispiele, bei denen es der Fall ist.

Warum ist es falsch, dass da von verschiedenen Seiten Druck gemacht wird, den Datenschutz und den Schutz von Buchungen, Meilenkonten etc. zu verbessern?

Jedes Pipifax-Unternehmen muss alle möglichen Maßnahmen unternehmen, warum kann dann nicht etwas mehr zum Schutz von Buchungen und Meilenkonten gemacht werden?

Warum kann ich, wenn ich die Servicekartennummer und den Nachnamen weiß, den gesamten Etix-Account ansehen, ohne dass man die Möglichkeit zu einer 2FA hat? Leuchtet mir nicht ein. Ist ja auch kein neues Thema oder?

 

[tyrolean]

Schade, dass "Journalist" keine geschützte Berufsbezeichnung ist. "Journalist" kann sich ein jeder nennen, was das Leben für diesen Berufszweig schwierig macht. Die Ausnutzung von Presseausweisen zum falsch Parken, das Drängen auf Presserabatte mit Hinweis auf Veröffentlichungen oder auch der Druck auf Unternehmen durch Hinweis auf eine Tätigkeit als "Journalist" zur Durchsetzung privater Belange sind Aspekte, die die Mediengewerkschaften seit Jahrzehnten beschäftigen. Hier sehen wir ein typisches Beispiel:

Lustig. Sowohl Journalisten als auch Juristen nutzen ihr beruflich erworbenes Wissen zu Privatzwecken. Der eine Schreit: „Ich verklage Dich”, der andere: „Alle Medien werden über meinen Fall berichten.”


Sagt der eine Hase zum anderen: „Du hast aber lange Ohren!”

 

[Travelling_Geek]

Das funktioniert nicht, denn aus genau diesem Grund ist auf den Gepäckanhängern kein Buchungscode aufgedruckt. Mit den Angaben auf dem Gepäckanhängern ist kein Zugriff auf eine Buchung möglich.

Wie schon von anderen geschrieben: Deine Aussage ist falsch.
Swiss z.B. druckt neben dem Filekey den Nachnamen auf die Tags. Damit kommt man dann zwar über swiss.com nicht weit, weil die Website auch den Vornamen abfragt.
Ist ein Lufthansa-Flug mit in der Buchung, führt aber lufthansa.com ans Ziel und zeigt neben dem vollen Vor- und Zunamen auch die E-Mail-Adresse des Reisenden (so vom RB hinterlegt) sowie die vollständige M&M-Nummer an - mehr braucht ein Krimineller an sich nicht.

Hat einer der Insassen ein aktuelles LH-Tag und kann bestätigen/verneinen, dass LH auch den Namen und den Filekey aufdruckt?

 

[planesandstuff]

Hat einer der Insassen ein aktuelles LH-Tag und kann bestätigen/verneinen, dass LH auch den Namen und den Filekey aufdruckt?

Auf meinen Tags von vor einigen Tagen (ausgestellt in MCO) steht nur der Name, kein PNR.

 

[Flying Lawyer]

Lustig. Sowohl Journalisten als auch Juristen nutzen ihr beruflich erworbenes Wissen zu Privatzwecken. Der eine Schreit: „Ich verklage Dich”, der andere: „Alle Medien werden über meinen Fall berichten.”


Sagt der eine Hase zum anderen: „Du hast aber lange Ohren!”

Du verkennst eines: Wenn ich (was ich noch nie getan habe) jemandem drohe, ihn zu verklagen, dann entscheidet ein Gericht über Recht und Unrecht. Wenn ein Journalist oder Blogger droht, böses zu schreiben, prüft es erst einmal niemand. Und noch eines: Um Dich Rechtsanwalt zu nennen, brauchst Du zwei Staatsexamen und eine Zulassung. Um Dich Journalist zu nennen, brauchst Du bestenfalls einen Schnelldrucker, der Dir Visitenkarten druckt. Sonst nichts, nulles und gar nix.

 

[born2fly]

...Um Dich Journalist zu nennen, brauchst Du bestenfalls einen Schnelldrucker, der Dir Visitenkarten druckt...

Tipp:
EF nach BKK buchen und dort drucken lassen ist
a) günstiger und
b) dem VFT wohl angemessen!

 

[Airsicknessbag]

Schade, dass "Journalist" keine geschützte Berufsbezeichnung ist. "Journalist" kann sich ein jeder nennen, was das Leben für diesen Berufszweig schwierig macht. Die Ausnutzung von Presseausweisen zum falsch Parken, das Drängen auf Presserabatte mit Hinweis auf Veröffentlichungen oder auch der Druck auf Unternehmen durch Hinweis auf eine Tätigkeit als "Journalist" zur Durchsetzung privater Belange sind Aspekte, die die Mediengewerkschaften seit Jahrzehnten beschäftigen.

Und die leider dazu gefuehrt haben, dass es hohe Huerden fuer die Ausstellung eines offiziellen Presseausweises gibt - die so hoch sind, dass man schon ueber einen Verstoss gegen Art. 5 GG diskutieren koennte. Nur wegen ein paar schwarzer Schafe, wurde da das Kind mit dem Bade ausgeschuettet.

 

[Flying Lawyer]

Und die leider dazu gefuehrt haben, dass es hohe Huerden fuer die Ausstellung eines offiziellen Presseausweises gibt - die so hoch sind, dass man schon ueber einen Verstoss gegen Art. 5 GG diskutieren koennte. Nur wegen ein paar schwarzer Schafe, wurde da das Kind mit dem Bade ausgeschuettet.

Ich habe während meines Studiums freiberuflich journalistisch in unserer damaligen Hauptstadt gearbeitet. Beim DJV war die Nachweisschwelle hauptberufliche journalistische Tätigkeit, die über den Umsatz nachzuweisen war. IG Medien war vergleichbar. Das fand ich einen ziemlich guten Nachweis bei Freien. Das sagt nämlich zumindest, dass bei einem Beruf, der keine Ausbildung und keinen Abschluss verlangt, eine ernsthafte Tätigkeit in diesem Beruf erfolgt. Und es waren nicht ein "paar" schwarze Schafe. In der riesigen Masse waren die weißen Schafe kaum zu sehen.

 

[AlexKoe]

Hallo zusammen,
meinem Mann und mir wurde aus unserem Meilenpool 2x 36 000 Meilen als Gutscheine gestohlen. Ich konnte mit niemandem bei Miles & More darüber sprechen, sondern musste über ein Onlineformular den Fall schildern. Das war am 15.08. Seitdem habe ich nichts mehr gehört. Mein Mann hat nun eine Mail von Miles & More bekommen, dass angeblich mein Email-Account gehackt wurde und sich die Diebe so Zugang zu meinem Miles & More Konto verschafft haben. Ihm wurde geraten bei der Polizei Strafanzeige zu stellen. Die Meilen bekommen wir angeblich nicht zurück, da ich Schuld bin und nicht Miles & More. Ich bin völlig geschockt und wollte wissen, ob jemand schon so etwas erlebt hat? Wir wollen unsere Meilen zurück und den genauen Sachverhalt erklärt haben, aber bei Miles & More kümmert sich niemand. Strafanzeige gegen Unbekannt haben wir gestellt.

So, mich hat es jetzt auch Ende September erwischt. Bei mir waren es über 180k Prämienmeilen, die die Hacker in Cadooz Gutscheine umgewandelt haben.
Da ich keine Emails von den Transaktionen gesehen habe, die Hacker aber offensichtlich meine Emailadresse für die Gutscheine verwendet haben, vermutet LH M&M dass mein Email Account gehackt worden sein könnte (das steht aber noch nicht fest).

Strafanzeige gegen Unbekannt habe ich inzwischen auch gestellt. LH M&M hat vorsorglich meinen Account vorübergehend für Meilenabbuchungen gesperrt. Ich habe LH, meinen Emailanbieter und Cadooz gebeten mir doch weiterführende Informationen zu geben, die drei werden die Infos aber nur an die ermittelnden Behörden weitergeben.

Da LH zur Zeit paralell drei (!) unterschiedlich sichere Authentifizierungsverfahren unterstützt:

M&M Nummer mit PIN (5-stellig)
M&M Login mit Passwort oder PIN (5-stellig) und
Lufthansa ID mit Passwort

...nimmt der Hacker halt einfach das Verfahren was ihm am besten passt.

Wer von Euch kann sich noch an die Zeiten erinnern, als man die M&M PINs nur auf dem Postweg bekam, falls man eine Neue haben wollte? Ich vermute mal dass noch sehr viele von den 'älteren' M&M Kunden noch ihre erste PIN haben/verwenden?

Ich würde auch begrüßen, dass man bei der LH nur noch ein Authentifizierungsverfahren anbietet und dieses dann mit einer 2-Faktor Authentifizierung absichert. Selbst meine DHL App ist inzwischen über eine 2-Faktor Authentifizierung abgesichert.

In einer ersten Aussage seitens LH wurden mir auch keine großen Hoffnungen gemacht, dass ich die Meilen zurückbekomme. Mal sehen wie das noch weitergeht.

 

[Vahid]

ANZEIGE

LH M&M hat vorsorglich meinen Account vorübergehend für Meilenabbuchungen gesperrt.

Haben die nicht komplett abgeräumt?

Wer von Euch kann sich noch an die Zeiten erinnern, als man die M&M PINs nur auf dem Postweg bekam, falls man eine Neue haben wollte?

Ich erinnere mich noch daran, dass die PIN nach Anforderung wegen "PIN vergessen" vollständig und im Klartext per E-Mail kam.

Ich drücke dir die Daumen, dass du von den Meilen was wiedersiehst.