Stulna EB-poäng

U

ulagun

New member
Fick nedanstående mejl från en av mina bästa vänner, dock inte direkt resvan. Har skrapat ihop drygt 150.00 EB poäng för att göra en "riktig" resa. Någon kapade hans EB konto. Finns namn mm.resor bokade till bl.a St Petersburg.

Vad kan jag råda honom att göra?

Hej G



SAS, vilket skitföretag..



8/8 skulle de skicka mail från SAS Fraud investigations till C. hon har ringt till Eurobonus kundtjänst en massa gånger. De har lovat " i dag skickar vi besked på mail" pyttsan de har gjort..



I går ringde jag två olika handläggare, C bytte mailadress till sin jobbadress för säkerhets skull. Inget besked..



I dag ringde jag igen. Ärendet ligger hos SAS fraud investigations, dit kan man inte ringa som kund..



Här sitter vi nu, inget besked, eurobonuskontot låst..



Det är tur att vi inte skall flyga någonstans och räknat med eurobonuspoängen..



Vilket skitföretag.. två månader har gått, bevis på be



drägeri finns, förövare finns.



Vilken säkerhet.. det krävs eurobonuskontonr och lösenkod för att gå tillgång till kontot..



SAS har säkerhetsproblem..



Fortsättning följer.
 
Folk gillar att klaga på SAS när de själva använder samma email och lösenord överallt..
 
Har läst detta, men till skillnaden mot dessa inlägg är att det gått två månader och inget händer från SAS sida.

Hur många här på BC hade accepterat spärrat EB konto i två månader ???
 
Abbs skrev:Folk gillar att klaga på SAS när de själva använder samma email och lösenord överallt..Klicka för att utvidga...
Click to expand...
Ursäkta men känner du mina vänner?

Ena parten arbetar med It säkerhet på ett av Sveriges större tjänste företag.

Vore bättre med konkret hjälp/råd istället för kommentarer som detta som inte är värdig BC
 
Att säkerheten är dålig har vi redan kommit fram till, det står till varje person sen att ha tillräckligt komplicerat lösenord, men även där är det svårt när SAS har max 12 tecken vad jag förstår, så det går nog inte bara att skylla på slutanvändaren när detta händer.



Har själva resan som bokats av icke-behöriga användaren genomförts eller ligger den i framtiden? Jag fick en "fulbokning" på ett hotell på mitt konto och jag ringde bara upp vanliga kundtjänsten och de kunde annullera den och sätta tillbaka poängen dagen efter, men detta verkar vara en mycket djupare undersökning så man blir lite fundersam på varför det är så i detta fall?



Hoppas det löser sig för dina vänner, sådant här är verkligen otroligt tråkigt att läsa om!
 
chazzie skrev:Att säkerheten är dålig har vi redan kommit fram till, det står till varje person sen att ha tillräckligt komplicerat lösenord, men även där är det svårt när SAS har max 12 tecken vad jag förstår, så det går nog inte bara att skylla på slutanvändaren när detta händer.Har själva resan som bokats av icke-behöriga användaren genomförts eller ligger den i framtiden? Jag fick en "fulbokning" på ett hotell på mitt konto och jag ringde bara upp vanliga kundtjänsten och de kunde annullera den och sätta tillbaka poängen dagen efter, men detta verkar vara en mycket djupare undersökning så man blir lite fundersam på varför det är så i detta fall?Hoppas det löser sig för dina vänner, sådant här är verkligen otroligt tråkigt att läsa om!Klicka för att utvidga...
Click to expand...
Och att de får fast avskummen som utför handlingar likt dessa.
 
Resorna gjordes i augusti. SAS har person uppgifter på både den ickekbehörig som bokat samt de som reste till bl. a St Petersburg.

Tydligen inte samma personer

Vad som stör mest är totala bristen på besked månad efter månad
 
ulagun skrev:Ursäkta men känner du mina vänner?Ena parten arbetar med It säkerhet på ett av Sveriges större tjänste företag.Vore bättre med konkret hjälp/råd istället för kommentarer som detta som inte är värdig BCKlicka för att utvidga...
Click to expand...


Min kommentar var värdigt svar på detta:


Vilket skitföretag.. två månader har gått, bevis på bedrägeri finns, förövare finns.Vilken säkerhet.. det krävs eurobonuskontonr och lösenkod för att gå tillgång till kontot..SAS har säkerhetsproblem..Klicka för att utvidga...
Click to expand...


Om det är så att SAS har haft dataintrång och förvarat känslig data i klartext är det mycket allvarligt, om nu SAS undangömmer denna information är det brottsligt. Sen krävs det antingen eurobonuskontonr, email, användarnamn eller travel pass nummer för att logga in hos SAS.



Det finns mycket phishing ute, med fejka SAS sidor och email osv. Många använder samma lösenord och användarnamn på flera ställen, här kan man se ifall man blivit "pwnd".



Så jag tror hellre på att användaruppgifter har kommit på vift, eller att en ryss kommit över ett eurobonuskontonr och bestämt sig för att bruteforce'a det(högst osannolikt, men med ett dåligt lösenord är det inte så svårt).





Sen kan vi diskutera SAS bristfälliga säkerhetsrutiner, att de borde tillåta längre lösenord, två faktors autentisering, osv. Trots att mycket inte gör så stor skillnad. Och att sådan här fraud ska tas på största allvar och man ska inte ignorera en kund i flera månader.
 
Så passade på att byta lösenord när man såg denna tråden.

Ett tips är att skaffa en lokal lösenordshanterare. Mycket smidigt att ha för alla olika sidor med kraftfulla lösenord.

12 stycken tecken är dock lite klent må jag tycka, ger ju bara ett 68 bits lösen..



Bra att ha olika mailkonton registrerade med på olika forum/ställen på internet .



Nåväl hoppas det går bra för TS vänner.
 
Atom skrev:Så passade på att byta lösenord när man såg denna tråden.Ett tips är att skaffa en lokal lösenordshanterare. Mycket smidigt att ha för alla olika sidor med kraftfulla lösenord.12 stycken tecken är dock lite klent må jag tycka, ger ju bara ett 68 bits lösen..Bra att ha olika mailkonton registrerade med på olika forum/ställen på internet .Nåväl hoppas det går bra för TS vänner.Klicka för att utvidga...
Click to expand...


Passa på att dra nytta av gmails funktioner för detta. du kan skriva [email protected], [email protected] eller [email protected]. Använder du plusteknet får mailen dessutom en egen etikett när det kommer in.



Vad gäller lösenord så är en lösenordshanterare en bra grej, men det även Icloud är hyfsat säkert. LÅnga lösenord är bra men behöver inte vara krångliga.



JagGillarRosaHästarMedGrönaRänder! är t.ex. ett säkert lösenord då en dator har svårt att gissa det, men den mänskliga hjärnan kan komma ihåg det lätt. Man ska spela på sina styrkor!
 
Hachans skrev:Passa på att dra nytta av gmails funktioner för detta. du kan skriva[email protected],[email protected]eller[email protected]. Använder du plusteknet får mailen dessutom en egen etikett när det kommer in.Vad gäller lösenord så är en lösenordshanterare en bra grej, men det även Icloud är hyfsat säkert. LÅnga lösenord är bra men behöver inte vara krångliga.JagGillarRosaHästarMedGrönaRänder! är t.ex. ett säkert lösenord då en dator har svårt att gissa det, men den mänskliga hjärnan kan komma ihåg det lätt. Man ska spela på sina styrkor!Klicka för att utvidga...
Click to expand...
Att det där lösenordet skulle vara svårt för en dator att gissa är en seglivad myt.
 
Abbs skrev:Att det där lösenordet skulle vara svårt för en dator att gissa är en seglivad myt.Klicka för att utvidga...
Click to expand...


Jaså? Varför det?



Här är en artikel som stödjer det jag säger:

The trick to choosing a password that's easy to remember but hard to crack



En annan:

Passphrases That You Can Memorize — But That Even the NSA Can’t Guess



Sex ord tar 3500 år att knäcka med entropi i lösenordet (alltså inga låttexter etc)



Ytterligare en:

Use a Passphrase



Och så varningens ord att man måste sätta ihop nonsensmeningar och inte typ låttexter (men poängen att använda en fras kvarstår)

Passphrases only marginally more secure than passwords because of poor choices | Ars Technica



Även Wiki anser jag att jag har rätt (det kan förvisso vem som helst editera så jag vet inte om någon gjort det):

Passphrase - Wikipedia







Och en lite xkcd-serie såklart!

https://imgs.xkcd.com/comics/password_strength.png
 
Hachans skrev:Jaså? Varför det?Här är en artikel som stödjer det jag säger:The trick to choosing a password that's easy to remember but hard to crackEn annan:Passphrases That You Can Memorize — But That Even the NSA Can’t GuessSex ord tar 3500 år att knäcka med entropi i lösenordet (alltså inga låttexter etc)Ytterligare en:Use a PassphraseOch så varningens ord att man måste sätta ihop nonsensmeningar och inte typ låttexter (men poängen att använda en fras kvarstår)Passphrases only marginally more secure than passwords because of poor choices | Ars TechnicaÄven Wiki anser jag att jag har rätt (det kan förvisso vem som helst editera så jag vet inte om någon gjort det):Passphrase - WikipediaOch en lite xkcd-serie såklart!https://imgs.xkcd.com/comics/password_strength.pngKlicka för att utvidga...
Click to expand...
Nu var ditt exempel: JagGillarRosaHästarMedGrönaRänder! vilket är det jag svarade på.

Det är inte säkert. En s.k dictionary attack är standard. När du väljer ett lösenord så finns det oavsett vad du gör kognitiv bias, som man utnyttjar via social engineering för att knäcka ditt valda lösenord. Ditt valda lösenord är 34 tecken och 169bits. Avsevärt lättare då det är 7 ord som finns i alla ordböcker samt logisk meningsuppbyggnad.

Detta är också 34 tecken: Æøc¤2$pÆõÄNÀÑÝê×:B§%gÄâöÝÑè·}ËåO-I men det är 239bits och det är ej svagt för pattern recognition.



Problemet är nu att komma ihåg detta lösenord, det går inte. Och att ha ett unikt lösenord för varje applikation. Det är då man använder sig av en lösenordshanterare, där du endast behöver komma ihåg ditt master password och du har tillräcklig kryptering och backup.
 
agehall skrev:SAS bekräftade ikväll att det arbetas på 2FA men det finns ingen tidsplan för när det kommer vara klart.Klicka för att utvidga...
Click to expand...
Agehall många tack för denna info. Nu framfört till mina oroliga vänner.



Ändå undrar jag varför SAS inte öppnar nytt EB-konto så de kommer åt sina poäng och inte minst bemödar sig svara på deras förfrågningar om vad som händer.

Tänker mig själv in i motsvarande situation.

Som pensionärer senaste tre åren reser vi frekvent 5-6 månader om året. Uteslutande med Star A.

Att då under två månader ha ett spärrat EB-konto. D.v.s bland annat inte ha någon koll på poäng, t.ex. AMEX intjäning, Inte kunna boka reward biljetter. Ingen koll på poängstatus (fru ulagun hänger på målsnöret för fortsatt Gold) vore snudd på ohållbart för vårt resande.

Dessutom total tystnad från SAS sida.

Antar att flera BC medlemmar skulle ha än värre problem med spärrat EB-konto månad efter månad...
 
Jag var med om en misstänkt debitering på mitt Eurobonuskonto. Det spärrades men spärren, fick jag förklarat för mig, gäller endast användning/uttag av poäng. Man fortsätter kunna ta emot och få poäng insatta precis som vanligt från Amex, Avis, utförda flygresor och liknande.



Kontot spärrades tills dess att någon på ”fraud- avdelningen” hade tid att kontakta mig, vilket skedde inom 2-3 dagar. Efter två mail fram och tillbaka med lite frågor var det avklarat efter ungefär en vecka och mitt konto återaktiverades. Och nej, det finns inget sätt att kontakta ”fraud-avdelningen” själv, det är så det ska vara, de kontaktar dig.
 
Jippii... Eller inte...

250000 poäng stulna från mitt konto i morse. Överförda i flera transaktioner till Coop Sverige Special Redemption Extra Points.



Jag kontaktade SAS Gold Support omgående och ett "ärende" finns nu vid Fraud-avdelningen. Kontot tillfälligt låst och jag fick på mig att göra en polisanmälan.



Vad exakt är det jag ska anmäla? Rubricering "stöld", "kontokortsbedrägeri", annat? Det finns ju inte några vettiga val i onlinetjänsten och ringer jag så kommer polisen ju att fatta noll.
 
You must log in or register to reply here.
Back
Top