image

Netflix en punten-functie Gmail veroorzaken beveiligingslek

maandag 9 april 2018, 16:27 door Redactie, 8 reacties

Doordat Netflix de e-mailadressen van gebruikers niet verifieert en Google stelt dat punten in Gmail-adressen "geen problemen opleveren" ontstaat er er een beveiligingslek, zo ontdekte softwareontwikkelaar Jim Fisher. Fisher ontving een e-mail van Netflix over een geblokkeerd account die eigenlijk voor een andere gebruiker was bedoeld.

Dit was mogelijk door de manier waarop Netflix en Gmail werken. Fisher registreerde voor zichzelf het e-mailadres jameshfisher@gmail.com. E-mails die naar james.hfisher@gmail.com worden gestuurd ontvangt hij echter ook. Dit komt door de feature die Google tien jaar geleden aan Gmail toevoegde, waardoor punten "geen problemen opleveren". Zodoende is Fisher eigendom van alle varianten van zijn e-mailadres met een punt erin.

Netflix verifieert bij de registratie geen e-mailadressen. In dit specifieke geval had de Netflix-gebruiker waarschijnlijk een verkeerd e-mailadres opgegeven. Aangezien de e-mail bij Fisher uitkomt kon hij ook een wachtwoordreset uitvoeren, wat hij ook deed. Zodoende kon hij zien waar de gebruiker de afgelopen maanden allemaal naar had gekeken. De werkwijze tussen Netflix en Google maakt het ook mogelijk om gebruikers te scammen, zo laat Fisher weten.

Volgens de softwareontwikkelaar ligt het probleem bij Gmail, en dan met name de punten-functie. Beveiligingsexpert Bruce Schneier stelt dat het probleem subtieler is. "Het is een voorbeeld van twee systemen zonder kwetsbaarheid die samenkomen om een beveiligingslek te veroorzaken. Nu we meer systemen aan elkaar koppelen, zullen we veel meer van dit soort kwetsbaarheden zien." Op Hacker News en Reddit heeft het voorval voor een verhitte discussie gezorgd over welke partij voor de kwetsbaarheid verantwoordelijk is. Google geeft op een aparte pagina uitleg wat mensen kunnen doen als ze mail voor andere personen ontvangen.

Reacties (8)
09-04-2018, 18:26 door Anoniem
Euh, misschien begrijp ik het niet maar als de Netflix gebruiker een verkeerd email adres heeft opgegeven (met de bewuste punt) dan is er toch helemaal geen sprake van een beveiligingslek?

De vraag is dan wel hoe de Netflix gebruiker met dat verkeerd opgegeven email adres dan zijn account in de eerste plaats heeft kunnen bevestigen.
09-04-2018, 20:45 door Briolet
Ik snap ook niet waarom de schuld richting GMail geschoven wordt. Bij netflix maakt iemand een account aan met het mailadres dat van iemand anders is. Alleen controleren ze niet of het goede adres opgegeven wordt.

Dit gaat mis, onafhankelijk of GMail punten negeert of niet. Primair ligt het datalek bij diegene die het mailadres van een ander opgeeft als zijnde van hem.
10-04-2018, 09:12 door [Account Verwijderd]
Ik heb even een test gedaan met GMail. Onderstaande adres is uiteraard niet mijn echte adres.

Mijn adres is a.b.c.dirksen@gmail.com

Mails naar a.b.c.dirk.sen@gmail.com abcdirksen@gmail.com en a.b.c.d.i.r.k.s.e.n@gmail.com komen allemaal gewoon in mijn mailbox aan!

Ik beheer dus een aardig scale aan aliassen.
10-04-2018, 10:12 door Anoniem
Wat een clickbait titel die tevens niet eens waar is!

Zoals hierboven ook al aangegeven is het de gebruiker die een verkeerd e-mail adres ingeeft. Dit heeft mijn inziens niets te maken met de functie van Gmail. Wellicht kun je Netflix iets verwijten dat ze het e-mail adres bij registratie niet goed gecontroleerd hebben.

Ik zelf ontvang ook al jaren emails bestemd voor een ander. Inmiddels heb ik met de beste persoon contact gehad en wat blijkt, onze email adressen lijken erg veel op elkaar. Een typfout is dus snel gemaakt.
Dit is niet toe te schrijven aan een functie van Gmail.
10-04-2018, 11:08 door 5ec5ec - Bijgewerkt: 10-04-2018, 11:10
Er wordt letterlijk gesteld in het artikel dat beide diensten eigenlijk geen kwetsbaarheid hebben, maar bepaalde functionaliteiten samen een lek op kunnen leveren. Dat is het punt van het artikel, en niet zo zeer het aanwijzen van een schuldige partij.

Allereerst kiest Google ervoor punten in emailadressen te negeren, en derhalve verschillende e-mail adressen als één e-mailadres aan te merken. Anderszijds kiest Netflix ervoor dit niet te verifieren, en dus worden e-mailadressen met punten wél als verschillende e-mailadressen aangemerkt, en kunnen daarmee dus verschillende accounts worden aangemaakt.

Dit resulteert dus in twee of meerdere accounts met verschillende e-maildressen bij Netflix, maar eenzelfde geadresseerde bij Gmail. Deze twee functionaliteiten van respectievelijk Netflix en Google hoeven op zichzelf nog geen kwetsbaarheid op te leveren, maar gecombineerd dus wel.

Hoewel je zeker kan stellen dat het de persoon is die het e-mailadres bij Netflix invoert fout zit, zou je ook kunnen stellen dat het verifieren van e-mail adressen door Netflix of een betere aanschrijving van het punten-negeer-systeem van Google deze situatie had kunnen voorkomen.

Het is een voorbeeld van een situatie waar klaarblijkelijk over nagedacht moet worden, omdat het bij het koppelen van verschillende diensten mogelijk vaker voor zal komen.
10-04-2018, 11:31 door Anoniem
Door Anoniem: Euh, misschien begrijp ik het niet maar als de Netflix gebruiker een verkeerd email adres heeft opgegeven (met de bewuste punt) dan is er toch helemaal geen sprake van een beveiligingslek?

De vraag is dan wel hoe de Netflix gebruiker met dat verkeerd opgegeven email adres dan zijn account in de eerste plaats heeft kunnen bevestigen.

Zoals het artikel stelt, je hoeft bij Netflix je e-mailadres niet te bevestigen.

Verder wat 5ec5ec stelt:

Er wordt letterlijk gesteld in het artikel dat beide diensten eigenlijk geen kwetsbaarheid hebben, maar bepaalde functionaliteiten samen een lek op kunnen leveren. Dat is het punt van het artikel, en niet zo zeer het aanwijzen van een schuldige partij.

Allereerst kiest Google ervoor punten in emailadressen te negeren, en derhalve verschillende e-mail adressen als één e-mailadres aan te merken. Anderszijds kiest Netflix ervoor dit niet te verifieren, en dus worden e-mailadressen met punten wél als verschillende e-mailadressen aangemerkt, en kunnen daarmee dus verschillende accounts worden aangemaakt.
10-04-2018, 18:04 door Anoniem
Ik kan uit ervaring spreken dat dit een tijd terug ook opging voor gmail & dropbox.
Opeens was ik eigenaar van een voor mij onbekende dropbox omdat de ander met dezelfde lettercombinatie een gmail adres gebruikt had, maar dan met een punt erin.
14-05-2018, 13:19 door Anoniem
Ik heb bij het opvragen van "Google - Uw gegevens downloaden" inhoud van onedrive van iemand anders z'n onedrive gedownload.Lekker die computers.Ik heb weer pen en papier enveloppen en postzegels gekocht,doei met internet!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.