Descoberta vulnerabilidade que permite hackear contas da Netflix

Foi descoberta uma nova vulnerabilidade que permite hackear contas da Netflix. O método em questão, descoberto e descrito pelo especialista em segurança digital James Fisher, envolve a exploração de brechas de segurança presentes na forma como o Gmail e a Netflix lidam com os logins em seus respectivos serviços.

Em publicação, Fisher afirma que o serviço de e-mails da gigante das buscas desconsidera o ponto "." nos endereços eletrônicos, ao passo que o Netflix considera o caractere para diferenciar os logins de seus usuários.

Para exemplificar, o especialista comenta que o Gmail considera que a conta "bruce.schneier@gmail.com" é a mesma que "bruceschneier@gmail.com" ou "b.r.u.c.e.schneier@gmail.com". Com isso, uma vez que a Netflix considera os pontos como critério de diferenciação, os comportamentos distintos entre os dois serviços podem ser explorados por meio do método de phishing. Para evitar golpes deste tipo, o especialista explica como funciona o golpe:

De forma resumida, uma conta semelhante a de um assinante válido pode ser criada no Gmail para que uma tentativa de checagem de cartão seja feita na conta da vítima. Com isso, uma mensagem eletrônica da Netflix é emitida para o alvo solicitando a inserção de um cartão válido, dado que será retornado também para o hacker. O último passo consiste na alteração do e-mail de cadastro da conta para obter acesso total à assinatura, que será sempre cobrada na fatura da vítima.

Fisher acredita que a vulnerabilidade é de responsabilidade do Gmail, devido ao fato de que o serviço de e-mail ignora os pontos, decisão que pode nem sempre ser adotada por todos os serviços online e facilmente utilizado como um método de invasão de contas. No entanto, a discussão é um pouco mais complicada do que parece, principalmente se levarmos em conta que o sistema de verificação de informações também é utilizado na brecha de segurança entre os dois serviços.

Fonte: Schneier on Security