AwardWallet 被駭，你也是受害者嗎？ — 談談點數玩家處理大量帳號資訊管理的方法

應該不少點數玩家都會使用的 AwardWallet 在前幾天傳出被駭的消息，約250個使用者的帳號密碼被駭，檢查一下自己的信箱有沒有收到提醒信件。

Awardwallet 是一個許多點數玩家都會接觸的工具，用戶可以把帳號和密碼托管給 AwardWallet，然後 Awardwallet 依照這些儲存的帳號密碼，自動取得會員資訊和點數內容，提供提醒和管理。也就是說，如果 Awardwallet 的帳號被駭了，同一時間，所有儲存在裡面的會員帳號密碼也會全部被瞬間取得。

前兩天，Flyertalk 傳出消息，有使用者收到 AwardWallet 傳來的信件約有 250個帳號被駭，John 也很快的在部落格討論了這個議題。Awardwallet 的員工也很快的在 Flyertalk 上將送出去的信件公告，昨天也親自上火線回答了一些用戶的疑問。昨天 awardwallet 在 flyertalk 的代表，更回應了相關訊息：

You are exactly right, the passwords to loyalty accounts are all stored encrypted (not hashed) so that we can check the balances. Removing the option to to display the password in clear text (after you enter the password) or adding second factor auth in there would not make it more secure, we would also have to get rid of the auto-login feature to make it more secure. I also want to point out that if your password is unique to AwardWallet and complex you have nothing to worry about.

We have 315,891 accounts on AwardWallet as of now, 250 got hacked and their usernames and passwords were very weak, like abcd / abcd so that is ~0.079%

Thanks,
-Alexi

如果依照 awardwallet 所提醒和澄清的訊息，這個所謂的「被駭」，並不是個通案，而是一些用戶的使用習慣所造成的個人行為，所以其實不是真正的「被駭」。但也有玩家在 John 的部落格底下留言說他的密碼其實很複雜但是被駭了，又有更多的玩家跟他討論，他雖然密碼可能很複雜，但是因為多重使用等等使用習慣不好而造成…。有在關心旅行相關新聞的同學，應該同時也看到了另一則 Bloomberg 所報導 美國聯合航空的被駭客攻擊的新聞。先不論最後是否證實這些帳號密碼被駭的確為個人使用習慣所導致，抑或是系統設計有問題所導致，這個問題不但是點數旅遊玩家會面臨到的問題，事實上應該是所有人都會接觸到的當代議題。

會員帳號密碼太多要記，但是每個帳號密碼都有不同的規定，很麻煩，因此一直都有類似像 1password的小工具在市場上，甚至 Apple 也跳進這個市場，在新的 MacOS Safari瀏覽器裡面支援了類似的功能。有些人不願意相信第三方系統管理者的道德，有些人不願意相信第三方管理者的加密能力，也有些人不相信 awardwallet 但是願意相信 google/apple，當然也有些玩家是非常聽話不想違反航空公司規定，因此遵守 T/C 不將密碼給第三方代管。不管是什麼原因，一直不願意去使用的人應該還是多數。

點數旅行玩家有額外的整合多帳號管理的需求？

但擁有大量會員的飛行常客，對這樣的需求也很類似，不過，其實有點不太一樣。Awardwallet有點像是 Mint 的系統，不是只提供「記密碼」這項功能，許多玩家使用是為了要「一目了然的顯示」以及「其他的輔助管理」。Mint 可以將許多銀行的帳號密碼代管，去把所有的存款及信用卡消費記錄全部整合管理，因此透過這樣的系統，雖然是不同的信用卡消費，但卻可以用「單一報表」來瀏覽。

而 Awardwallet 也是處理了類似的需求，不單單只是記密碼，而是可以在記密碼之外，一目了然的顯示並且計算所有的點數，並且記錄一些相關資訊提供額外服務（像是點數快過期之前的提醒，點數有異動時的提醒）。

覺得自己記密碼不是問題，但是管理一堆帳號的細節時卻是頭痛的人，可能對 1password 不感興趣，但因為懶得用 Spreadsheet 手動管理，因此被 Awardwallet這種系統深深吸引。不過說真的，要是 Google 帳號密碼被駭，被偷走的可能是一堆私人照片和文件，而不只是其他的帳號密碼而已。

關於這樣的安全性問題，其實有很多科技部落客都有更深入的討論，研究生就先打在這裡。提出這個問題主要是想拋磚引玉一下，跟閱讀這篇筆記的同學們一起思考，這麼多航空公司和飯店集團的帳號要管理，我有什麼選擇？

偷懶一下不考慮這個風險繼續使用這樣的服務？
還是只願意給更大的公司來協助管理（比方說 Apple 的 Safari 或手動記錄在 Google drive）？
還是索性靠自己的腦袋全部記下？

Awardwallet 說他們的系統加密沒問題，是個人使用的問題。你相信嗎？
如果相信 Awardwallet沒問題，那麼自己對帳號密碼的使用方式是對的嗎？

先提醒同學們確認一下信箱，看看是否有收到警告信。希望大家的帳號密碼都安然無恙！