Domanda:
Perché qualcuno dovrebbe aprire un account Netflix utilizzando il mio indirizzo Gmail?
user2760608
2019-05-12 20:01:40 UTC
view on stackexchange narkive permalink

Questo è qualcosa che mi è successo alcuni mesi fa. Non so se si tratta di un tentativo di hacking, anche se non riesco a pensare a un modo in cui potrebbe esserci alcun pericolo o ottenere informazioni personali.

Non ho un account Netflix e mai aver fatto. Ho un indirizzo Gmail che non ho mai utilizzato per la comunicazione pubblica. All'improvviso ho iniziato a ricevere e-mail da Netflix a questo indirizzo Gmail, non un'e-mail di "Benvenuto su Netflix" o una richiesta di verifica dell'indirizzo, ma quella che sembrava una promozione mensile per un account esistente. Questo era indirizzato a qualcuno con un nome reale diverso, con quel nome non simile in alcun modo al nome Gmail.

Dopo alcuni di questi messaggi ho deciso di indagare andando su Netflix e provando ad accedere con quell'indirizzo email. Utilizzando l'opzione "password dimenticata" sono stato in grado di ricevere un'e-mail di reimpostazione della password, cambiare la password e accedere. L'account sembrava provenire dal Brasile, con un po 'di cronologia visualizzazioni ma nessun altro dato personale memorizzato e nessuna informazione di pagamento.

Ben presto le e-mail di Netflix hanno iniziato a chiedermi di aggiornare le informazioni di pagamento. Ovviamente non l'ho fatto e poi sono cambiati in "il tuo account verrà sospeso" e poi "il tuo account è stato sospeso". Le email di "ritorno su Netflix" continuano ad arrivare occasionalmente.

Non vedo come possa essere un tentativo di phishing: ho controllato attentamente di essere sul vero sito Netflix, ho usato un usa e getta password non utilizzata su altri siti e non ha inserito nessuna delle mie informazioni personali. Ho anche controllato attentamente le intestazioni delle e-mail e sono state inviate da Netflix. Quindi questo è solo un errore da parte di qualcuno, digitare un indirizzo e-mail errato (anche se è sorprendente che Netflix lo abbia accettato senza verifica) o qualcosa di più sinistro?

Sei sicuro che queste e-mail provenissero dall'attuale Netflix?
Hai fatto clic sui collegamenti nell'e-mail per reimpostare la password?O hai effettivamente digitato w w w.n e t f l i x.entrare in un browser con le dita?Quella prima è come ti prendono ...
A proposito, quello che hai fatto è stato ** consapevolmente ** bloccare qualcuno dal proprio account e accedere alle sue informazioni, il che potrebbe farti pagare multe pesanti o carcere.La probabilità è ovviamente piccola, ma ricorda quella signora che ha condiviso una manciata di canzoni su e-mule, poi è stato chiesto di pagare $ 10.000 per canzone: scommetto che nemmeno lei se l'aspettava.
@DmitryGrigoryev IBTD.Quell'altra persona usava volentieri l'indirizzo email dell'OP e doveva aspettarsi anche questo.
@DmitryGrigoryev Sì no.Quello che OP ha fatto è stato chiudere la porta di casa quando qualcun altro si è introdotto senza invito e ha usato il soggiorno per guardare la TV.
@KonradRudolph Giusto per chiarire, per "account" intendo l'account Netflix, non l'account Gmail.
@DmitryGrigoryev Sono a conoscenza.Per estendere un po 'la mia metafora, quello che ha fatto OP è stato sparare attraverso la borsetta che l'intruso ha lasciato nel soggiorno di OP, per cercare un documento d'identità.
Nessuna truffa, nessun phishing, niente.Questo non è nemmeno per questo sito secondo me.È piuttosto semplice: poiché non è un nuovo account, possiamo dire che la persona non ha utilizzato un'e-mail casuale per la prova gratuita.Ma questo è molto probabilmente l'obiettivo: hanno cambiato l'indirizzo e-mail dell'account in uno casuale in modo da poter creare un nuovo account di prova con il loro vecchio indirizzo e-mail.
Ho diversi account Gmail e uno di loro riceve continuamente registrazioni come questo.Sono tutti innocui.È un nome breve e sorprendentemente popolare, quindi penso sia dovuto a errori di battitura o qualcuno che confonde i loro domini di posta elettronica.Una volta qualcuno ha provato ripetutamente a reimpostare la mia password Gmail, ma il problema si è interrotto dopo che ho modificato il testo della mia domanda di sicurezza in "Questo non è il tuo account, persona dall'IP abc.def.ghi.jkl".
Consiglio di impostare un filtro Gmail in modo che la posta inviata al tuo indirizzo senza punti riceva automaticamente un tag aggiunto.Assegna al tag il nome "attenzione" o "nessun punto" per rilevare più facilmente quando un messaggio richiede un'ulteriore analisi.
Qualcuno ha usato il mio indirizzo Gmail per iscriversi a numerose cose - penso che il loro indirizzo sia una lettera fuori dal mio.Di recente l'hanno utilizzato per iscriversi a Groupon.Non riesco a trovare un modo per contattare Groupon senza accedere all'account (che non ho creato), quindi contrassegno le e-mail come spam e vado avanti con la mia vita.
@DmitryGrigoryev Non essere assurdo.OP non ha fatto assolutamente nulla di illegale qui.
@only_pro Trovo anche assurda una multa di $ 10.000 per canzone condivisa, ma il giudice potrebbe non farlo.Quindi è davvero una cattiva difesa.
@KonradRudolph Il punto sollevato da Dmitry è giusto, l'altra parte (B) non è mai entrata in casa di OP o altro.Più simile sarebbe che B si iscrisse a un club di nuoto e scrisse nel campo dell'indirizzo l'indirizzo dell'OP.Successivamente, l'OP ha utilizzato queste informazioni per ottenere l'accesso dannoso all'account di B.B sta decisamente truffando e sta mentendo sul modulo di iscrizione, ma anche l'accesso all'account di B senza autorizzazione in alcuni paesi sarebbe di dubbia legalità.Il difetto più grande sta con Netflix qui, però, per non aver verificato l'email.
@DavidMulder Non c'è malizia qui.L'avvocato di B potrebbe tentare di argomentare questo, ma un'accusa di malizia richiede forti prove positive.
Qualcosa di simile accade a me.Creo indirizzi email univoci per ogni servizio che utilizzo.Quindi, quando ho ricevuto un'e-mail di Netflix a un indirizzo designato a "omgpop.com", ero confuso.Ora vedo che omgpop è stato violato, facendo trapelare questo indirizzo e-mail in libertà.Ma perché usarlo per creare un account Netlifx?
Sei risposte:
jamesdlin
2019-05-13 02:19:30 UTC
view on stackexchange narkive permalink

Penso che sia probabile che qualcuno stia cercando di indurti a pagare Netflix per loro. Da: https://jameshfisher.com/2018/04/07/the-dots-do-matter-how-to-scam-a-gmail-user/:

Più in generale, la truffa di phishing qui è:

  1. Martella il modulo di registrazione Netflix finché non trovi un indirizzo gmail.com che è "già registrato". Supponiamo che tu trovi la vittima jameshfisher .
  2. Crea un account Netflix con indirizzo james.hfisher .
  3. Registrati gratuitamente prova con un numero di carta usa e getta.
  4. Dopo che Netflix ha applicato il "controllo della carta attiva", annulla la carta.
  5. Attendi che Netflix addebiti la carta annullata. Quindi Netflix invia un'email a james.hfisher chiedendo una carta valida.
  6. Hope Jim legge l'email a james.hfisher , presume che sia per il suo account Netflix supportato di jameshfisher , quindi inserisce la sua carta **** 1234 .
  7. Cambia l'email dell'account Netflix in eve@gmail.com , che impedisce a Jim di accedere a questo account.
  8. Usa Netflix gratis per sempre con la carta di Jim **** 1234 !

(Tieni presente che i passaggi precedenti non includono alcun passaggio di "reimpostazione della password" per consentire a Jim di accedere all'account; questo perché l'email di Netflix include collegamenti autenticati che non lo richiedono . L'aggressore vuole che la vittima faccia clic sui collegamenti e-mail invece di visitare Netflix manualmente, questo è ciò che consente a "Eve" di accedere nuovamente all'account nel passaggio 7. Oppure, poiché le e-mail di Netflix hanno collegamenti autenticati, forse "Eve" lo ha già uno.)

La situazione di cui sopra è parzialmente causata dal fatto che Netflix (comprensibilmente) non riconosce la funzione "i punti non contano" di Gmail in cui le email vengono inviate a foo.bar@example.com e a foobar @ example.com finiscono nello stesso account. Questo non ha molta importanza nel tuo caso (dato che se è così che stai cercando di essere truffato, il passaggio 1 è stato completamente saltato), tuttavia.

Un problema più grande è che Netflix apparentemente consente ancora alle persone per registrare indirizzi email negli account senza verifica.

@AndrewSavinykh Molte persone si innamorerebbero anche di questo.Viene visualizzata un'e-mail di attivazione e fai clic sul collegamento anche se in realtà attiverà l'account Eve.Molte persone ci cascheranno anche se ricevere un'e-mail di attivazione per un account già attivato dovrebbe essere altamente sospetto.
Avrei giurato di aver trovato una volta la caratteristica "i punti non contano" di Gmail specificata in una RFC, ma non riesco a trovarla.
@Wildcard per quanto ne so è una funzionalità solo per Gmail, così come il "+"
@Gizmo Ignorare un punto in un indirizzo e-mail è un buco di sicurezza imbarazzante, IMHO.Ma separare l'indirizzo e-mail da un filtro con "+" è piuttosto comune.Nella configurazione predefinita di Postfix di Debian, si legge: `recipient_delimiter = +`.
@rexkogitans Perché è una falla di sicurezza (supponendo che ignorare i punti sia coerente con la registrazione)?
@CedricReichenbach Non è una falla di sicurezza per Google, ma è un enorme invito ad attacchi di phishing esattamente come mostrato nell'esempio di jamesdlin: Altri siti che utilizzano indirizzi e-mail come login.
@Gizmo "+" NON è solo gmail.
La risposta alla tua perplessità al passaggio 7 è che nel modello standard non è prevista la reimpostazione della password.OP è andato sensibilmente direttamente al sito Netflix per ottenere l'accesso, ma l'e-mail ricevuta conteneva collegamenti con token di autenticazione che avrebbero permesso di cambiare la carta di credito senza conoscere la password.Questo è un grave fallimento di Netflix, dove danno la priorità alla comodità di pagarli sulla sicurezza del cliente.
@PeterTaylor Ahh, grazie per la spiegazione.Ero confuso perché l'articolo menzionava i collegamenti autenticati ma anche che era passato attraverso il processo di reimpostazione della password.
L'unico server che dovrebbe anche tentare di analizzare la parte prima del segno @ è gmail.com, come da [RFC 5321, sezione 2.3.11] (https://tools.ietf.org/html/rfc5321#section-2.3.11).Netflix non sta facendo nulla di sbagliato.
Probabilmente aggiungerei un altro passaggio 0 a questo: connettiti a Netflix in un modo tale che non possano rintracciarti.Altrimenti, sembra che potresti avere problemi con le mani quando la vittima chiama Netflix dopo aver ricevuto un addebito extra sulla sua carta di credito e Netflix rintraccia l'indirizzo IP della persona che utilizza l'account fraudolento.
@corvus_192 Anche se non sono d'accordo sul fatto che Netflix non stia facendo nulla di sbagliato per quanto riguarda il modo in cui onora i punti negli indirizzi e-mail, Netflix * sta * facendo qualcosa di sbagliato non verificando la proprietà dell'indirizzo e-mail fornito
`Netflix (comprensibilmente) non riconosce la funzione" i punti non contano "di Gmail` Non credo sia particolarmente comprensibile, dato che questa funzione è ampiamente conosciuta.Sì, Google è un mucchio di cose da fare per creare quella funzione, ma esiste e sfortunatamente dobbiamo affrontarlo.
Grazie per tutte le risposte utili.Giusto per chiarire, non ho seguito alcun link in nessuna email ma sono andato direttamente al sito di Netflix. Ancora molto sorpreso, tuttavia, che un importante sito Web come Netflix non segua le pratiche di sicurezza standard in diversi modi: (a) consente di registrarsi o modificare un indirizzo e-mail senza verificare che appartenga a quella persona;(b) non tiene conto della "funzione" dot-in-email di Gmail;(c) invia collegamenti con token di autenticazione nelle e-mail.
@user2760608 Indeed: (a) (non verifica l'indirizzo e-mail) è strano.
Quindi netflix dovrebbe 1) verificare l'indirizzo e-mail 2) richiedere la password quando si modificano le opzioni di pagamento
@IanKemp La caratteristica "i punti non contano" impedisce MOLTE email con indirizzi errati, quindi è una buona cosa nel mio libro.Ho usato come mia email per un po 'david.mulder@somedomainiowned.com e so per certo che le persone hanno ricevuto messaggi di posta elettronica errati davidmulder@somedomainiowned.com (dato che avevo una configurazione catch-all).
@IanKemp, ci sono comunque altre varianti della funzione "punto non importa".Se Netflix verificasse correttamente la proprietà dell'indirizzo, non sarebbe un problema.Né se non stava inviando link pre-autenticati con token nelle e-mail.Questi sono i problemi.
Non riesco a vedere come questo potrebbe applicarsi allo scenario OP, dal momento che l'OP non ha mai avuto un account Netflix per cominciare?
@MrWhite Come ho detto, * se * questo è ciò che viene tentato, allora "Eve" ha saltato il passaggio 1. Forse è per pigrizia, forse è per speranza che la vittima si sia registrata a Netflix utilizzando un indirizzo non Gmail (e nonnotate).Indipendentemente da ciò, penso che l'intenzione sia quella di indurre la vittima a pagare Netflix per qualcun altro.
schroeder
2019-05-12 20:14:18 UTC
view on stackexchange narkive permalink

La situazione più probabile è che qualcuno abbia utilizzato un indirizzo Gmail arbitrario (il tuo) per registrarsi per una prova gratuita, o abbia erroneamente tentato di cambiare la propria email con l'indirizzo sbagliato (forse anche un amico / familiare riceve le email ).

Questo non sarebbe un "hack" o anche un tentativo di phishing, ma semplicemente utilizzando qualsiasi indirizzo disponibile. Ciò significa che il tuo indirizzo Gmail non può essere utilizzato per una prova gratuita su Netflix, quindi hai un impatto negativo.

Come nota a margine, accedendo all'account di qualcun altro, hai violato molti leggi di "accesso non autorizzato" del paese. Non prenderei l'abitudine di farlo (o di dire ad altri su siti pubblici che hai ".

Hmm, a quanto pare il "il tuo account è stato sospeso" è visto molto in natura [quando si tratta di phising] (https://www.hoax-slayer.net/netflix-your-account-is-suspended-phishing-truffa/).Forse questo è davvero un tentativo di phishing e i phiser volevano che OP facesse clic su Password dimenticata per rinunciare a una password riutilizzata.O per aggiungere informazioni di pagamento.
Se qualcuno registra un account con le tue informazioni, è davvero il suo account?
@NonnyMoose Direi che l'account appartiene ancora alla persona che lo ha creato.Se un pacco con il tuo nome viene spedito all'indirizzo sbagliato, la persona che vive lì ha il diritto di aprire il tuo pacco?Inoltre, è probabile che l'account contenga informazioni personali appartenenti al vero creatore / proprietario dell'account: nome, indirizzo, data di nascita, ecc. Inoltre, l'OP non ha accettato termini e condizioni o altri prerequisiti per la creazione di un account.In questo caso, invierei un'e-mail a Netflix e spiegherei loro la situazione piuttosto che accedere all'account e curiosare.
Questo è quasi certamente qualcuno che abusa delle prove gratuite di Netflix, non che attacca direttamente OP.
@NonnyMoose in base alle mie limitate conoscenze legali, gli account appartengono sempre alle persone (esseri umani fisici) e mai alle diverse manifestazioni virtuali di persone che esistono
Questa è probabilmente l'idea corretta.Lo dico perché lo stesso è successo a me circa 2-3 mesi fa. Senza nient'altro, ho scritto all'assistenza clienti "Ho ricevuto questa e-mail, rif n. Blah blah, e non sono un tuo cliente".La risposta è stata: "Oh, beh, grazie per l'avviso, abbiamo disattivato l'account".
@rshepp questo non è un "pacco consegnato per errore all'indirizzo sbagliato" questo è un PersonAB che dice "Voglio che questo venga inviato alla Persona XY, mettici il suo nome e indirizzo"
Tutti: il concetto di "accesso autorizzato" *** non ha nulla a che fare con il nome o l'email dell'account o con la facilità con cui effettua il login. Come professionisti della sicurezza, ti preghiamo di comprendere questo punto legale di base.Se qualcuno con il mio nome apre un account e utilizza erroneamente il mio indirizzo e-mail invece del proprio, strettamente correlato, ciò non significa che io sia autorizzato ad accedere all'account.
@Mischa Dalla domanda originale: _ "Questo è stato indirizzato a qualcuno con un nome reale diverso, con quel nome non simile in alcun modo al nome Gmail." _
@rshepp Re "L'OP, inoltre, non ha accettato termini e condizioni o altri prerequisiti per la creazione di un account": Buono per loro ;-).Mai concordato, non può violare.(Questo può o meno influenzare qualsiasi altra valutazione legale, come se il PO abbia violato il vago [CFAA] (https://www.law.cornell.edu/uscode/text/18/1030).)
mckenzm
2019-05-13 10:48:35 UTC
view on stackexchange narkive permalink
  1. A causa del criterio Gmail "i punti non contano", è improbabile che questo sia l'account Netfix autentico di qualcun altro, a meno che non si sia verificato un errore di battitura nel nome diverso da punto posizionamento.
  2. Anche così, non dovresti dirottare questo account, non è tuo. Quindi non cambiare l'indirizzo email in un altro dominio.
  3. La truffa dipende dal fatto che tu abbia un account Netflix e utilizzi il tuo indirizzo gmail per l'accesso.
  4. È improbabile che abbiano raccolto il tuo gmail account da Netfix, né uno che è "punto agnosticamente simile" (!), ma ancora una volta, errori di battitura.
  5. Basta inviare un buon esempio a Netflix e creare una regola per raggruppare le email future.

Non uso nemmeno il mio indirizzo gmail per Google .

Non vedo come i fattori politici "i punti non contano" nelle cose qui.
Perché se i punti fossero importanti, Gmail non ti recapiterebbe la posta con punti non corrispondenti.Netflix vede due indirizzi.gmail.com li vede come lo stesso indirizzo.OP non ha Netflix, quindi a meno che non si tratti di un attacco speculativo, il normale indirizzo gmail dell'OP non è stato cancellato da Netflix dopo una collisione.
Per quanto riguarda "I punti non contano", non possono esistere altri indirizzi senza tali punti: "Il tuo indirizzo Gmail è univoco. Se qualcuno tenta di creare un account Gmail con una versione puntata del tuo nome utente, riceverà un errore che dice che il nome utente è già stato utilizzato. Ad esempio, se il tuo indirizzo è johnsmith@gmail.com, nessuno può iscriversi a j.o.h.n.s.m.i.t.h@gmail.com. "
Ma possono inviare e-mail a j.o.h.n.s.m.i.t.h@gmail.com, così come Netflix.Risolve ancora a johnsmith@gmail.com una volta che raggiunge i server Gmail.
Certo, ma "i punti" non erano un problema qui.Quindi non vedo come la tua risposta sia pertinente a questa domanda.Fare affermazioni vere su qualcosa di tangenzialmente correlato non è una risposta.
The Programmer
2019-05-15 22:37:04 UTC
view on stackexchange narkive permalink

Questo è un evento comune a causa della confusione degli indirizzi e-mail.

Ricevo da dozzine a centinaia di e-mail da aziende legittime (concessionari di automobili, dipartimento idrico ed elettrico di LA, Macys.com, note di attivazione del telefono cellulare, la società di buste paga ADP e l'assicurazione nazionale) da persone con il mio nome e un'iniziale che corrisponde al mio cognome.

Le aziende potrebbero risolverlo E migliorare la sicurezza con un passaggio "double-opt-in" che richiedeva di confermare un indirizzo e-mail prima che fosse utilizzato.

Il peggio era in all'inizio del 2019, quando ho ricevuto le cartelle cliniche (il laboratorio risulta in un file .PDF) - una chiara violazione HIPAA, poiché la posta elettronica non è un canale di comunicazione autenticato o crittografato. La persona della "cartella clinica", che dovrebbe conoscere la legge, era il mittente dell'e-mail.

Nel mio caso, nessuno di loro è nefasto, ma rappresenta utenti incapaci o, peggio ancora, addetti alle vendite incapaci (come Lenscrafters nel Maryland), l'Apple Store a Manhattan e altri troppo numerosi per essere menzionati.

Se le persone vogliono inventare un indirizzo, allora first.last@example.com - è il migliore usare. Non è valido per definizione nelle RFC di Internet.

Con il senno di poi, mi sono reso conto che il mio indirizzo Gmail è troppo corto e dovrebbe avere la stessa lunghezza di una password (circa 15 caratteri).

In realtà, non è una violazione HIPAA se il record apparteneva al destinatario previsto e il destinatario previsto ha richiesto che le informazioni fossero trasmesse in modo insicuro e gli è stato fatto capire i pericoli prima della trasmissione e hanno comunque optato per averlo inviato in quel modo.
Ho anche ricevuto referti medici (raggi X), ma il mio miglior esempio di una prima e-mail errata iniziale di questo tipo è stata un'offerta di lavoro per lavorare presso il Department of Homeland Security.
Ricevo ogni sorta di spazzatura, inclusi a un certo punto 7 account Skype separati che utilizzano tutti lo stesso indirizzo email.Può essere incredibilmente difficile essere rimosso da un account, ad esempio l'account OnStar che mi dice ancora la pressione dei pneumatici di qualcuno ogni mese, ma Skype è facile, sebbene limitato a un numero limitato al giorno (3?).
Steve Sether
2019-05-15 23:57:03 UTC
view on stackexchange narkive permalink

C'è un'altra possibilità che nessun altro ha identificato. Qualcuno ha creato un account Netflix di prova con il tuo indirizzo gmail nel tentativo di vedere se hai già un account Netflix.

Se l'interfaccia utente restituisce che quell'indirizzo email è già utilizzato, lo identifica come un account contro cui provare i tentativi di accesso basati sul dizionario.

ana
2020-05-20 01:17:04 UTC
view on stackexchange narkive permalink

Ho ricevuto anche email da Netflix che dicevano che il mio account è stato cancellato e che c'è stato un tentativo di accesso da qualche parte dagli Stati Uniti ... tranne che vivo in Canada e non ho mai creato un account Netflix in primo luogo. Sono andato direttamente al sito Web di Netflix e ho potuto parlare con un rappresentante che ha cancellato l'account. Non c'erano nemmeno informazioni sul pagamento. Non capisco perché sia ​​successo, o qualcuno ha un indirizzo e-mail simile ma senza i punti, o forse c'è qualche motivo sinistro, ma non lo saprei. Mi sono chiesto se qualcuno potrebbe farlo sperando che l'altra persona inserisca le proprie informazioni di pagamento, abilitando così l'account.

Benvenuto in Information Security!Questo non risponde davvero alla domanda, è più un post "Anch'io ho questo problema".Se hai una reputazione sufficiente, [potresti votare a favore] (// security.stackexchange.com/privileges/vote-up) la domanda.In alternativa, "contrassegnalo come preferito" e riceverai una notifica di eventuali nuove risposte.Leggi l'articolo [risposta] del Centro assistenza per vedere cosa ci aspettiamo da una risposta.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...