Netflix en punten-functie Gmail veroorzaken beveiligingslek
Doordat Netflix de e-mailadressen van gebruikers niet verifieert en Google stelt dat punten in Gmail-adressen "geen problemen opleveren" ontstaat er er een beveiligingslek, zo ontdekte softwareontwikkelaar Jim Fisher. Fisher ontving een e-mail van Netflix over een geblokkeerd account die eigenlijk voor een andere gebruiker was bedoeld.
Dit was mogelijk door de manier waarop Netflix en Gmail werken. Fisher registreerde voor zichzelf het e-mailadres jameshfisher@gmail.com. E-mails die naar james.hfisher@gmail.com worden gestuurd ontvangt hij echter ook. Dit komt door de feature die Google tien jaar geleden aan Gmail toevoegde, waardoor punten "geen problemen opleveren". Zodoende is Fisher eigendom van alle varianten van zijn e-mailadres met een punt erin.
Netflix verifieert bij de registratie geen e-mailadressen. In dit specifieke geval had de Netflix-gebruiker waarschijnlijk een verkeerd e-mailadres opgegeven. Aangezien de e-mail bij Fisher uitkomt kon hij ook een wachtwoordreset uitvoeren, wat hij ook deed. Zodoende kon hij zien waar de gebruiker de afgelopen maanden allemaal naar had gekeken. De werkwijze tussen Netflix en Google maakt het ook mogelijk om gebruikers te scammen, zo laat Fisher weten.
Volgens de softwareontwikkelaar ligt het probleem bij Gmail, en dan met name de punten-functie. Beveiligingsexpert Bruce Schneier stelt dat het probleem subtieler is. "Het is een voorbeeld van twee systemen zonder kwetsbaarheid die samenkomen om een beveiligingslek te veroorzaken. Nu we meer systemen aan elkaar koppelen, zullen we veel meer van dit soort kwetsbaarheden zien." Op Hacker News en Reddit heeft het voorval voor een verhitte discussie gezorgd over welke partij voor de kwetsbaarheid verantwoordelijk is. Google geeft op een aparte pagina uitleg wat mensen kunnen doen als ze mail voor andere personen ontvangen.
De vraag is dan wel hoe de Netflix gebruiker met dat verkeerd opgegeven email adres dan zijn account in de eerste plaats heeft kunnen bevestigen.
Dit gaat mis, onafhankelijk of GMail punten negeert of niet. Primair ligt het datalek bij diegene die het mailadres van een ander opgeeft als zijnde van hem.
Mijn adres is a.b.c.dirksen@gmail.com
Mails naar a.b.c.dirk.sen@gmail.com abcdirksen@gmail.com en a.b.c.d.i.r.k.s.e.n@gmail.com komen allemaal gewoon in mijn mailbox aan!
Ik beheer dus een aardig scale aan aliassen.
Zoals hierboven ook al aangegeven is het de gebruiker die een verkeerd e-mail adres ingeeft. Dit heeft mijn inziens niets te maken met de functie van Gmail. Wellicht kun je Netflix iets verwijten dat ze het e-mail adres bij registratie niet goed gecontroleerd hebben.
Ik zelf ontvang ook al jaren emails bestemd voor een ander. Inmiddels heb ik met de beste persoon contact gehad en wat blijkt, onze email adressen lijken erg veel op elkaar. Een typfout is dus snel gemaakt.
Dit is niet toe te schrijven aan een functie van Gmail.
Allereerst kiest Google ervoor punten in emailadressen te negeren, en derhalve verschillende e-mail adressen als één e-mailadres aan te merken. Anderszijds kiest Netflix ervoor dit niet te verifieren, en dus worden e-mailadressen met punten wél als verschillende e-mailadressen aangemerkt, en kunnen daarmee dus verschillende accounts worden aangemaakt.
Dit resulteert dus in twee of meerdere accounts met verschillende e-maildressen bij Netflix, maar eenzelfde geadresseerde bij Gmail. Deze twee functionaliteiten van respectievelijk Netflix en Google hoeven op zichzelf nog geen kwetsbaarheid op te leveren, maar gecombineerd dus wel.
Hoewel je zeker kan stellen dat het de persoon is die het e-mailadres bij Netflix invoert fout zit, zou je ook kunnen stellen dat het verifieren van e-mail adressen door Netflix of een betere aanschrijving van het punten-negeer-systeem van Google deze situatie had kunnen voorkomen.
Het is een voorbeeld van een situatie waar klaarblijkelijk over nagedacht moet worden, omdat het bij het koppelen van verschillende diensten mogelijk vaker voor zal komen.
De vraag is dan wel hoe de Netflix gebruiker met dat verkeerd opgegeven email adres dan zijn account in de eerste plaats heeft kunnen bevestigen.
Zoals het artikel stelt, je hoeft bij Netflix je e-mailadres niet te bevestigen.
Verder wat 5ec5ec stelt:
Allereerst kiest Google ervoor punten in emailadressen te negeren, en derhalve verschillende e-mail adressen als één e-mailadres aan te merken. Anderszijds kiest Netflix ervoor dit niet te verifieren, en dus worden e-mailadressen met punten wél als verschillende e-mailadressen aangemerkt, en kunnen daarmee dus verschillende accounts worden aangemaakt.
Opeens was ik eigenaar van een voor mij onbekende dropbox omdat de ander met dezelfde lettercombinatie een gmail adres gebruikt had, maar dan met een punt erin.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.