Netflix en punten-functie Gmail veroorzaken beveiligingslek
Doordat Netflix de e-mailadressen van gebruikers niet verifieert en Google stelt dat punten in Gmail-adressen "geen problemen opleveren" ontstaat er er een beveiligingslek, zo ontdekte softwareontwikkelaar Jim Fisher. Fisher ontving een e-mail van Netflix over een geblokkeerd account die eigenlijk voor een andere gebruiker was bedoeld.
Dit was mogelijk door de manier waarop Netflix en Gmail werken. Fisher registreerde voor zichzelf het e-mailadres jameshfisher@gmail.com. E-mails die naar james.hfisher@gmail.com worden gestuurd ontvangt hij echter ook. Dit komt door de feature die Google tien jaar geleden aan Gmail toevoegde, waardoor punten "geen problemen opleveren". Zodoende is Fisher eigendom van alle varianten van zijn e-mailadres met een punt erin.
Netflix verifieert bij de registratie geen e-mailadressen. In dit specifieke geval had de Netflix-gebruiker waarschijnlijk een verkeerd e-mailadres opgegeven. Aangezien de e-mail bij Fisher uitkomt kon hij ook een wachtwoordreset uitvoeren, wat hij ook deed. Zodoende kon hij zien waar de gebruiker de afgelopen maanden allemaal naar had gekeken. De werkwijze tussen Netflix en Google maakt het ook mogelijk om gebruikers te scammen, zo laat Fisher weten.
Volgens de softwareontwikkelaar ligt het probleem bij Gmail, en dan met name de punten-functie. Beveiligingsexpert Bruce Schneier stelt dat het probleem subtieler is. "Het is een voorbeeld van twee systemen zonder kwetsbaarheid die samenkomen om een beveiligingslek te veroorzaken. Nu we meer systemen aan elkaar koppelen, zullen we veel meer van dit soort kwetsbaarheden zien." Op Hacker News en Reddit heeft het voorval voor een verhitte discussie gezorgd over welke partij voor de kwetsbaarheid verantwoordelijk is. Google geeft op een aparte pagina uitleg wat mensen kunnen doen als ze mail voor andere personen ontvangen.
De vraag is dan wel hoe de Netflix gebruiker met dat verkeerd opgegeven email adres dan zijn account in de eerste plaats heeft kunnen bevestigen.
Dit gaat mis, onafhankelijk of GMail punten negeert of niet. Primair ligt het datalek bij diegene die het mailadres van een ander opgeeft als zijnde van hem.
Mijn adres is a.b.c.dirksen@gmail.com
Mails naar a.b.c.dirk.sen@gmail.com abcdirksen@gmail.com en a.b.c.d.i.r.k.s.e.n@gmail.com komen allemaal gewoon in mijn mailbox aan!
Ik beheer dus een aardig scale aan aliassen.
Zoals hierboven ook al aangegeven is het de gebruiker die een verkeerd e-mail adres ingeeft. Dit heeft mijn inziens niets te maken met de functie van Gmail. Wellicht kun je Netflix iets verwijten dat ze het e-mail adres bij registratie niet goed gecontroleerd hebben.
Ik zelf ontvang ook al jaren emails bestemd voor een ander. Inmiddels heb ik met de beste persoon contact gehad en wat blijkt, onze email adressen lijken erg veel op elkaar. Een typfout is dus snel gemaakt.
Dit is niet toe te schrijven aan een functie van Gmail.
Allereerst kiest Google ervoor punten in emailadressen te negeren, en derhalve verschillende e-mail adressen als één e-mailadres aan te merken. Anderszijds kiest Netflix ervoor dit niet te verifieren, en dus worden e-mailadressen met punten wél als verschillende e-mailadressen aangemerkt, en kunnen daarmee dus verschillende accounts worden aangemaakt.
Dit resulteert dus in twee of meerdere accounts met verschillende e-maildressen bij Netflix, maar eenzelfde geadresseerde bij Gmail. Deze twee functionaliteiten van respectievelijk Netflix en Google hoeven op zichzelf nog geen kwetsbaarheid op te leveren, maar gecombineerd dus wel.
Hoewel je zeker kan stellen dat het de persoon is die het e-mailadres bij Netflix invoert fout zit, zou je ook kunnen stellen dat het verifieren van e-mail adressen door Netflix of een betere aanschrijving van het punten-negeer-systeem van Google deze situatie had kunnen voorkomen.
Het is een voorbeeld van een situatie waar klaarblijkelijk over nagedacht moet worden, omdat het bij het koppelen van verschillende diensten mogelijk vaker voor zal komen.
De vraag is dan wel hoe de Netflix gebruiker met dat verkeerd opgegeven email adres dan zijn account in de eerste plaats heeft kunnen bevestigen.
Zoals het artikel stelt, je hoeft bij Netflix je e-mailadres niet te bevestigen.
Verder wat 5ec5ec stelt:
Allereerst kiest Google ervoor punten in emailadressen te negeren, en derhalve verschillende e-mail adressen als één e-mailadres aan te merken. Anderszijds kiest Netflix ervoor dit niet te verifieren, en dus worden e-mailadressen met punten wél als verschillende e-mailadressen aangemerkt, en kunnen daarmee dus verschillende accounts worden aangemaakt.
Opeens was ik eigenaar van een voor mij onbekende dropbox omdat de ander met dezelfde lettercombinatie een gmail adres gebruikt had, maar dan met een punt erin.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
