讀者 Simon 發現 Aisa Miles 戶口中的亞洲萬里通里數總數 8 萬多 Miles 被盜去,紀錄發現駭客分三次兌換中國的酒店住宿。Simon 稱已使用較為難撞的密碼,亦沒有使用不熟悉的裝置或經公眾 Wi-Fi 登入。
有亞洲萬里通用戶在旅遊 Facebook 群組上訴苦,指自己的 Asia Miles 亞洲萬里通 8 萬里被人盜去。Unwire.hk 記者訪問事主 Simon ,他指正在計劃蜜月旅行換取英國、芬蘭、德國與奧地利時機票,但發現戶口內 8 萬多里不翼而飛。查看記錄發現,里數被人於 4 月 25 日至 29 日分多次兌換總共 3 晚酒店,而地點都是位於中國,包括上海鉑愛國際酒店、北京希爾頓逸林酒店、上海麗思卡爾頓酒店等等,最多一次被兌換 55,853 Asia Miles。最不幸的是兌換確認信件自動去了「Junk Mail 」分類中,事主一直未有發現。
▲有亞洲萬里通用戶被盜用帳戶內的里數(圖片來源:讀者提供)
Asia Miles 於晚上 8:30 致電事主並詢問一些有關戶口保安的問題後,通知事主該三晚酒店已成功入住,協助詢問是否能進行退款,如有消息會進一步聯絡事主。 現先要求事主去警署報案並拿取「報案紙」方便他們進行調查工作。
事主回覆 Unwire 記者查詢時指,帳戶密碼依照現時流行的安全標準,內含英文、數字與數學符號,而他以及妻子亦只使用自己的電腦或手機登入,未曾使用公眾 WiFi 無線網絡,因此不太明白帳戶內里數被盜用的原因。
▲舊用戶重新登入會獲得更新電話號碼的提示
早前 Asia Miles 事前宣布系統更新時間,讓黑客趕尾車,怎料帳戶被黑事件繼續發生。雖然亞洲萬里通最近增設兩步驗證登入(2FA) 保安,但需要舊戶登入先更新電話號碼後才能啟動,而未更新或選擇不更新的用戶仍舊可以繼續使用。估計駭客是透過這個漏洞以繞過 2FA 。香港資訊科技商會委員兼資訊保安召集人 Eric Fan 先生建議, Asia Miles 香港可暫停一直未登入更新電話號碼的用戶,並建議用戶應盡快登入及更新電話號碼以啟用 SMS 兩步驗證登入。
unwire.hk 更建議各位讀者避免在 Chrome 儲存密碼,因為駭客可以輕易透過木馬檢查你於 Chrome 所儲存的密碼 <按此>,Mac 用戶建議主力使用 Keychain 功能儲存密碼,避免使用其他方法。
(3/5 11:00pm 更新 : Asia Miles 經調查後,已經把里數全數歸還給事主)
資料來源:Flydak.hk 旅遊谷
