Ga naar inhoud

Netflix en punten-functie Gmail veroorzaken beveiligingslek


Aanbevolen berichten

Doordat Netflix de e-mailadressen van gebruikers niet verifieert en Google stelt dat punten in Gmail-adressen "geen problemen opleveren" ontstaat er er een beveiligingslek, zo ontdekte softwareontwikkelaar Jim Fisher. Fisher ontving een e-mail van Netflix over een geblokkeerd account die eigenlijk voor een andere gebruiker was bedoeld.

Dit was mogelijk door de manier waarop Netflix en Gmail werken. Fisher registreerde voor zichzelf het e-mailadres jameshfisher@gmail.com. E-mails die naar james.hfisher@gmail.com worden gestuurd ontvangt hij echter ook. Dit komt door de feature die Google tien jaar geleden aan Gmail toevoegde, waardoor punten "geen problemen opleveren". Zodoende is Fisher eigendom van alle varianten van zijn e-mailadres met een punt erin.

Netflix verifieert bij de registratie geen e-mailadressen. In dit specifieke geval had de Netflix-gebruiker waarschijnlijk een verkeerd e-mailadres opgegeven. Aangezien de e-mail bij Fisher uitkomt kon hij ook een wachtwoordreset uitvoeren, wat hij ook deed. Zodoende kon hij zien waar de gebruiker de afgelopen maanden allemaal naar had gekeken. De werkwijze tussen Netflix en Google maakt het ook mogelijk om gebruikers te scammen, zo laat Fisher weten.

Volgens de softwareontwikkelaar ligt het probleem bij Gmail, en dan met name de punten-functie. Beveiligingsexpert Bruce Schneier stelt dat het probleem subtieler is. "Het is een voorbeeld van twee systemen zonder kwetsbaarheid die samenkomen om een beveiligingslek te veroorzaken. Nu we meer systemen aan elkaar koppelen, zullen we veel meer van dit soort kwetsbaarheden zien." Op Hacker News en Reddit heeft het voorval voor een verhitte discussie gezorgd over welke partij voor de kwetsbaarheid verantwoordelijk is. Google geeft op een aparte pagina uitleg wat mensen kunnen doen als ze mail voor andere personen ontvangen.

 

 

bron: security.nl

Link naar reactie
Delen op andere sites


 Delen

×
×
  • Nieuwe aanmaken...