W piątek wieczorem lub w weekend wcześnie rano, gdzieś w zakładce „oferty” pojawia się mail od AccorHotels o mniej więcej takiej treści: „Gratulujemy! Wymieniłeś swoje punkty na kupony hotelowe”. Dla kogoś kto często podróżuje lub jest hotelowym maniakiem takie maile to nic szczególnego. Jeśli mamy kilka niewykorzystanych kuponów, grupy hotelowe co jakiś czas starają się nam przypominać o upływających terminach ważności itp. Z przyzwyczajenia pomijasz takiego maila, a kiedy przychodzi do kolejnej rezerwacji odkrywasz, że na twoim koncie brakuje kilkudziesięciu tysięcy punktów…
Z szeroko pojętym „bezpieczeństwem komputerowym” jestem związany hobbystycznie, dlatego myślałem, że taka sytuacja nigdy mnie nie dotknie. Jednak po zalogowaniu na konto moim oczom ukazał się niemal pusty licznik punktów i informacje o zamówionych kuponach. Podłubałem nieco w Google i choć przypadków takich jak ja nie ma zbyt wiele, to muszę przyznać, że sposób działania hackerów jest dość nietypowy i interesujący. Z mojej analizy wynika, że:
- Konto nie jest całkowicie przejmowane, cały czas mamy do niego dostęp. Na koncie nie są dokonywane żadne transakcje, zmiany w profilu itp.
- Za cel ataku służą głównie osoby z wyższym statusem/większą ilością punktów/frequent travelerzy.
- Cel ataku jest zawsze taki sam: kupony hotelowe. W programie Le Club Accorhotels 2000 punktów możemy wymienić na kupon warty 40€. Jest to kupon na okaziciela, do wykorzystania na dowolny cel w ciągu 6 miesięcy w dowolnym obiekcie grupy AccorHotels.
- Zakup kuponów ma zazwyczaj miejsce kiedy istnieje największa szansa, że jesteśmy offline: 24-25 grudnia, weekend, ew. czas w którym najpewniej wracamy z pracy do domu.
- W dużej części przypadków wszystkie kupony nie są wykorzystywane od razu. W programie Le Club AccorHotels, w profilu użytkownika, nie tak łatwo je znaleźć dlatego mogą tam spokojnie leżeć i czekać.
- Proceder ma miejsce przynajmniej od początku 2015 roku.
- Włamywacz nie zamierza się rozdrabniać: konto czyszczone jest zawsze do momentu kiedy nie można już kupić kuponów. Kilka osób okradzionych na grube setki € przyznało, że strata 2000 czy 4000 punktów pozostałaby niezauważona.
- Większość osób, w tym i ja, dawno lub nigdy nie zmieniała hasła (choć samo hasło było „zgodne ze sztuką”).
- Po pozytywnej weryfikacji punkty można odzyskać.
Jeśli zauważyłeś, że z twojego konta Le Club AccorHotels ktoś ukradł 2000 puntów (lub ich wielokrotność) to jeszcze nie koniec świata. Poniżej opisuję krok po kroku jak z pomocą AccorHotels odzyskać swoje punkty.
Jak odzyskać skradzione punkty?
- Sprawdź czy to nie pomyłka. Zaloguj się na swoje konto AccorHotels, wejdź w „Moja karta lojalnościowa” a następnie zakładkę „Moje punkty”. W tabeli znajdziesz wylistowane operacje punktowe. Jeśli widnieje tam pozycja „E-Voucher : E-Reward” i to nie ty zamówiłeś kupon, możesz przejść do punktu numer 2.
- Zadzwoń na infolinię AccorHotels (502-805-805 lub 0801-606-606) i poinformuj o zniknięciu twoich punktów. Dostaniesz numer do Guest Relations Coordinator + zostanie założona sprawa wyjaśniająca całą sytuację.
- W ciągu kilku dni otrzymasz maila potwierdzającego atak na twoje konto (o ile taki miał miejsce).
- Postępuj zgodnie z instrukcjami zawartymi w mailu – poinformuj oficjalnie (mailowo), że to nie ty zamawiałeś kupony hotelowe i zmień hasło.
- Oczekuj zwrotu punktów w formie Courtesy Bonus.
Cała sytuacja ma swoje pozytywne strony. Po pierwsze przypomniano mi dobitnie jak ważna jest regularna zmiana hasła. Po drugie AccorHotels zachowało się bardzo profesjonalnie i szybko rozwiązano mój problem. Po trzecie Courtesy Bonus przedłuża ważność zgromadzonych wcześniej punktów 🙂
Na koniec wstawiam najważniejsze ze wskazówek jakich udzielił oficjalny Concierge Accorhotels na jednym z forów:
- pamiętaj o regularnej zmianie hasła,
- nie używaj jednego hasła dla wielu portali,
- twórz hasła „zgodnie ze sztuką” tzn.: minimum 8 znaków, używaj wielkich i małych liter, cyfr i znaków specjalnych. Daruj sobie hasła typu 123456 czy osiemliter,
- wszelkie maile promocyjne od AccorHotels przychodzą tylko i wyłącznie z domeny accor-mail.com,
- nie udostępniaj nikomu swojego hasła,
- w razie jakichkolwiek wątpliwości skontaktuj się z AccorHotels.
Ze swojej strony mogę tylko dodać, aby nigdy nie odznaczać opcji powiadomień o zmianach na koncie. To właśnie one uchroniły (nie tylko) mnie przed bezpowrotną stratą dziesiątków tysięcy punktów.
Klikając dowolny przycisk poniżej motywujesz mnie do dalszej pracy: