Hackerangriff auf Miles&More - Meilenkonto überprüfen

ANZEIGE

hansiflyer

Erfahrenes Mitglied
10.12.2012
2.183
4
BER
HONs haben auch bei Hackern höchste Priorität auf der Warteliste. Da lohnt es sich ja am meisten. :D
Mein popeliges FTL-Konto haben sie jedenfalls verschont.
 
  • Like
Reaktionen: MANAL

asdf32333

HH Gold Junkie
22.08.2014
2.757
177
HAJ
BTW: Es scheint sich um eine BF-Attacke zu handeln. Heißt es wurden die Konten ausgeraubt, die ein zu leichtes Passwort für ihr M&M-Konto gewählt haben. Das erklärt, warum meine Meilen auf meinem Konto geblieben sind :D
 

Nordi

Erfahrenes Mitglied
18.09.2012
1.472
0
HAM
BTW: Es scheint sich um eine BF-Attacke zu handeln. Heißt es wurden die Konten ausgeraubt, die ein zu leichtes Passwort für ihr M&M-Konto gewählt haben. Das erklärt, warum meine Meilen auf meinem Konto geblieben sind :D

Wenn ich das richtig verstanden habe Brute Force nicht nur für Passwort, sondern auch für Benutzername. Ein Wunder, dass es da überhaupt zu Treffern kommen kann bevor es auffällt.
 

asdf32333

HH Gold Junkie
22.08.2014
2.757
177
HAJ
Wenn ich das richtig verstanden habe Brute Force nicht nur für Passwort, sondern auch für Benutzername. Ein Wunder, dass es da überhaupt zu Treffern kommen kann bevor es auffällt.
Jap. Die Sache ist, dass beim BF einfach wild Usernamen und Passwörter ausprobiert werden. Beides zu erraten ist eine Kunst (außer man macht es dem Angreifer leicht) ;)
 

Nordi

Erfahrenes Mitglied
18.09.2012
1.472
0
HAM
Trotzdem geht das eigentlich nur, sollte M&M nicht nach X Fehlversuchen das Konto, und sei es nur vorübergehend, sperren. Was in der heutigen Zeit eigentlich Standard sein sollte.

Dann ist es auch unter Verwendung von Rainbow Table's eigentlich unmöglich, bei unbekanntem Benutzernamen und Passwort hier Treffer zu generieren, bevor jemand was merkt. Ich denke die Infos in dem Artikel sind so nicht ganz korrekt oder es fehlt noch was.
 
  • Like
Reaktionen: asdf32333

hippo72

Erfahrenes Mitglied
11.03.2009
11.433
3.871
Paralleluniversum
Frage 1: WANN war das?
Frage 2: Wieso ist es für den Artikel wichtig, herauszustellen, dass auch HON-Konten betroffen waren?
Frage 3: Welche "Gegenmaßnahmen" hat die Lufthansa eingeleitet?
 

Huey

Erfahrenes Mitglied
06.04.2009
4.484
-2
Frage 3: Welche "Gegenmaßnahmen" hat die Lufthansa eingeleitet?

Anstatt das Konto nach beispielweise 5 falschen Eingaben des Passwortes für eine temporäre Zeit einzufrieren erwarte ich bei LH, dass wir zukünftig neben Benutzernamen, Passwort noch zusätzlich dieses schöne Feld mit Zahlen und Buchstaben in Krickelschrift werden zusätzlich eingeben dürfen. Immer der Zeit voraus. :censored:
 

asdf32333

HH Gold Junkie
22.08.2014
2.757
177
HAJ
Anstatt das Konto nach beispielweise 5 falschen Eingaben des Passwortes für eine temporäre Zeit einzufrieren erwarte ich bei LH, dass wir zukünftig neben Benutzernamen, Passwort noch zusätzlich dieses schöne Feld mit Zahlen und Buchstaben in Krickelschrift werden zusätzlich eingeben dürfen. Immer der Zeit voraus. :censored:
Bitte nicht. Schon bei Hilton ist es schlimm genug :censored:


BTW: Diese "Felder" haben auch einen Namen. Es sind Captchas ;)
 
  • Like
Reaktionen: 1 Person

hippo72

Erfahrenes Mitglied
11.03.2009
11.433
3.871
Paralleluniversum
Anstatt das Konto nach beispielweise 5 falschen Eingaben des Passwortes für eine temporäre Zeit einzufrieren erwarte ich bei LH, dass wir zukünftig neben Benutzernamen, Passwort noch zusätzlich dieses schöne Feld mit Zahlen und Buchstaben in Krickelschrift werden zusätzlich eingeben dürfen. Immer der Zeit voraus. :censored:

Den Schrott, den auch Hilton einsetzt? :censored:
 

Snappy

Erfahrenes Mitglied
23.07.2010
4.396
258
Bielefeld
6pn77mvc99cn.jpg


:eek:

Oder liegts nur daran das ich kaum noch LH fliege? ;)
 
  • Like
Reaktionen: vantom
A

Anonym-36803

Guest
Anstatt das Konto nach beispielweise 5 falschen Eingaben des Passwortes für eine temporäre Zeit einzufrieren erwarte ich bei LH, dass wir zukünftig neben Benutzernamen, Passwort noch zusätzlich dieses schöne Feld mit Zahlen und Buchstaben in Krickelschrift werden zusätzlich eingeben dürfen. Immer der Zeit voraus. :censored:

Das würde doch auch nicht helfen, wenn jeder Account nur einmal probiert würde. M.W. kann man sich bei M&M doch immer noch mit Kartennummer und PIN einloggen. Also einfach per Zufall Kartennummern generieren und für jede einmal die PIN 1234 o.ä. ausprobieren. Bei einem von 10.000 Accounts sollte man damit im Mittel erfolgreich sein.
 

asdf32333

HH Gold Junkie
22.08.2014
2.757
177
HAJ
Das würde doch auch nicht helfen, wenn jeder Account nur einmal probiert würde. M.W. kann man sich bei M&M doch immer noch mit Kartennummer und PIN einloggen. Also einfach per Zufall Kartennummern generieren und für jede einmal die PIN 1234 o.ä. ausprobieren. Bei einem von 10.000 Accounts sollte man damit im Mittel erfolgreich sein.
Die PIN hat 5 Stellen. Wobei das die Sicherheit kaum erhöht :rolleyes:
 

Worldtraveler42

Erfahrenes Mitglied
15.02.2015
3.867
8
MRS
Heißt es wurden die Konten ausgeraubt, die ein zu leichtes Passwort für ihr M&M-Konto gewählt haben. Das erklärt, warum meine Meilen auf meinem Konto geblieben sind :D

Dein M&M-Konto hat aber eine PIN. Mit fünf Stellen schränkt sich die Anzahl der Kombination eher ein. 100.000 Kombis nein?

... sondern auch für Benutzername. Ein Wunder, dass es da überhaupt zu Treffern kommen kann bevor es auffällt.

Ein Spektrum mit M&M Kundennummern durchzutesten ist wahrscheinlich noch relativ einfach.
 
A

Anonym-36803

Guest
Die PIN hat 5 Stellen. Wobei das die Sicherheit kaum erhöht :rolleyes:

Naja, dann halt einer von 100.000 Accounts. Das Problem dürfte eher sein, gültige Kartennummern zu generieren/bekommen. Aber immerhin weiß man ja die ersten vier Ziffern (9922 FTL, 2220 SEN usw.)
 
  • Like
Reaktionen: asdf32333

asdf32333

HH Gold Junkie
22.08.2014
2.757
177
HAJ
Dein M&M-Konto hat aber eine PIN. Mit fünf Stellen schränkt sich die Anzahl der Kombination eher ein. 100.000 Kombis nein?

Es hat auch eine PIN. Wobei der Lufthansa die Versuche von 00000 bis 99999 auffallen sollten. Außerdem muss auch noch die 12-stellige Kartennummer erraten werden ohne 9920 & Co. Und das dauert länger ;)