Question:
Pourquoi quelqu'un ouvrirait-il un compte Netflix en utilisant mon adresse Gmail?
user2760608
2019-05-12 20:01:40 UTC
view on stackexchange narkive permalink

C'est quelque chose qui m'est arrivé il y a quelques mois. Je ne sais pas s'il s'agit d'une tentative de piratage, bien que je ne puisse penser à aucun danger ou à obtenir des informations personnelles.

Je n'ai pas de compte Netflix et jamais ai fait. J'ai une adresse Gmail que je n'ai jamais utilisée pour la communication publique. Soudainement, j'ai commencé à recevoir un e-mail à cette adresse Gmail de Netflix - pas un e-mail "Bienvenue sur Netflix" ou une demande de vérification d'adresse, mais ce qui ressemblait à une promotion mensuelle pour un compte existant. Cela a été adressé à quelqu'un avec un nom réel différent, avec ce nom qui ne ressemble en rien au nom Gmail.

Après quelques-uns de ces messages, j'ai décidé d'enquêter en allant sur Netflix et en essayant de me connecter avec cette adresse e-mail. En utilisant l'option "mot de passe oublié", j'ai pu obtenir un e-mail de réinitialisation de mot de passe, modifier le mot de passe et me connecter. Le compte semblait provenir du Brésil, avec un historique de surveillance, mais aucune autre information personnelle stockée et aucune information de paiement.

Bientôt, les e-mails de Netflix ont commencé à me demander de mettre à jour les informations de paiement. Je ne l'ai pas fait, bien sûr, puis ils sont passés à "votre compte sera suspendu", puis "votre compte a été suspendu". Les e-mails de "retour à Netflix" arrivent encore occasionnellement.

Je ne vois pas en quoi cela pourrait être une tentative de phishing - j'ai soigneusement vérifié que j'étais sur le vrai site Netflix, utilisé un jetable mot de passe non utilisé sur d'autres sites, et ne saisissant aucune de mes informations personnelles. J'ai également vérifié attentivement les en-têtes des e-mails et ils ont été envoyés par Netflix. Est-ce donc juste une erreur de la part de quelqu'un, une erreur de saisie d'une adresse e-mail (bien qu'il soit surprenant que Netflix l'ait acceptée sans vérification), ou quelque chose de plus sinistre?

Êtes-vous sûr que ces e-mails provenaient de Netflix?
Avez-vous cliqué sur les liens dans l'e-mail pour réinitialiser votre mot de passe?Ou avez-vous réellement tapé w w w.n e t f l i x.c o m dans un navigateur avec vos doigts?Ce premier est comment ils obtiennentcha ...
BTW, ce que vous avez fait, c'est ** sciemment ** verrouiller quelqu'un de son compte et accéder à ses informations, ce qui peut vous entraîner de lourdes amendes ou des peines de prison.La probabilité que cela se produise est bien sûr faible, mais rappelez-vous que cette dame qui a partagé une poignée de chansons sur e-mule, a ensuite été invitée à payer 10'000 $ par chanson: je parie qu'elle ne s'y attendait pas non plus.
@DmitryGrigoryev IBTD.Cette autre personne utilisait volontairement l'adresse e-mail du PO et devait s'y attendre également.
@DmitryGrigoryev Ouais non.Ce qu'OP a fait, c'est de verrouiller leur porte d'entrée lorsque quelqu'un d'autre se laisse entrer sans y être invité et utilise son salon pour regarder la télévision.
@KonradRudolph Pour être clair, par «compte», j'entends le compte Netflix, pas le compte Gmail.
@DmitryGrigoryev Je suis au courant.Pour étirer un peu ma métaphore, OP a fouillé le sac à main que l’intrus a laissé dans le salon d’OP pour chercher une pièce d’identité.
Pas d'arnaque, pas de phishing, rien.Ce n'est même pas pour ce site à mon avis.C'est assez basique: puisqu'il ne s'agit pas d'un nouveau compte, nous pouvons dire que la personne n'a pas utilisé d'e-mail aléatoire pour un essai gratuit.Mais c'est probablement l'objectif - ils ont changé l'adresse e-mail du compte en une adresse aléatoire afin de pouvoir créer un nouveau compte d'essai avec leur ancienne adresse e-mail.
J'ai plusieurs comptes Gmail, et l'un d'eux obtient des inscriptions à un compte comme celui-ci tout le temps.Ils sont tous inoffensifs.C'est un nom court et étonnamment populaire, donc je pense que c'est soit à cause de fautes de frappe, soit à cause de la confusion de leurs domaines de messagerie.Une fois, quelqu'un a essayé à plusieurs reprises de réinitialiser mon mot de passe Gmail, mais cela s'est arrêté après avoir changé le texte de ma question de sécurité en "Ce n'est pas votre compte, personne de l'adresse IP abc.def.ghi.jkl".
Je recommande de configurer un filtre Gmail afin que les e-mails envoyés à votre-adresse-sans-points reçoivent automatiquement une balise.Nommez la balise «attention» ou «pas de points» pour faciliter la détection lorsqu'un message nécessite un examen plus approfondi.
Quelqu'un a utilisé mon adresse Gmail pour s'inscrire à de nombreuses choses - je pense que son adresse est à une lettre de la mienne.Plus récemment, ils l'ont utilisé pour s'inscrire à Groupon.Je ne peux pas trouver un moyen de contacter Groupon sans me connecter au compte (que je n'ai pas créé), donc je marque simplement les e-mails comme spam et je continue ma vie.
@DmitryGrigoryev Ne soyez pas absurde.OP n'a absolument rien fait d'illégal ici.
@only_pro Je trouve aussi absurde une amende de 10 000 $ par chanson partagée, mais peut-être pas le juge.C'est donc vraiment une mauvaise défense.
@KonradRudolph Le point soulevé par Dmitry est juste, l'autre partie (B) n'est jamais entrée dans la maison d'Op ou quoi que ce soit.Plus similaire serait que B s'est inscrit à un club de natation et a écrit dans le champ d'adresse l'adresse de l'OP.Ensuite, l'OP a utilisé ces informations pour accéder de manière malveillante au compte de B.B est définitivement en train d'arnaquer et de mentir sur le formulaire d'inscription, mais OP accéder au compte de B sans autorisation serait également d'une légalité douteuse dans certains pays.Le plus gros défaut réside ici dans Netflix pour ne pas avoir vérifié l'e-mail.
@DavidMulder Il n'y a pas de malice ici.L’avocat de B pourrait bien essayer de faire valoir cela, mais une accusation de malveillance nécessite des preuves solides et positives.
Quelque chose de similaire m'arrive.Je crée des adresses e-mail uniques pour chaque service que j'utilise.Ainsi, lorsque j'ai reçu un e-mail Netflix à une adresse désignée par «omgpop.com», j'étais confus.Je vois maintenant que omgpop a été piraté, laissant cette adresse e-mail dans la nature.Mais pourquoi l'utiliser pour créer un compte Netlifx?
Six réponses:
jamesdlin
2019-05-13 02:19:30 UTC
view on stackexchange narkive permalink

Je pense qu'il est probable que quelqu'un essaie de vous inciter à payer pour Netflix pour lui. De: https://jameshfisher.com/2018/04/07/the-dots-do-matter-how-to-scam-a-gmail-user/:

Plus généralement, l'arnaque par hameçonnage ici est:

  1. Martelez le formulaire d'inscription Netflix jusqu'à ce que vous trouviez une adresse gmail.com qui est «déjà enregistrée». Supposons que vous trouviez la victime jameshfisher .
  2. Créez un compte Netflix avec l'adresse james.hfisher .
  3. Inscrivez-vous gratuitement essai avec un numéro de carte jetable.
  4. Une fois que Netflix a appliqué la «vérification de la carte active», annulez la carte.
  5. Attendez que Netflix facture la carte annulée. Puis Netflix envoie un e-mail à james.hfisher pour demander une carte valide.
  6. J'espère que Jim lit l'e-mail à james.hfisher , en supposant que c'est pour son compte Netflix soutenu par jameshfisher , puis saisit sa carte **** 1234 .
  7. Remplacez l'adresse e-mail du compte Netflix par eve@gmail.com , interdisant l'accès de Jim à ce compte.
  8. Utilisez Netflix gratuitement pour toujours avec la carte de Jim **** 1234 !

(Notez que les étapes ci-dessus n'incluent aucune étape de «réinitialisation du mot de passe» permettant à Jim d'accéder au compte; c'est parce que l'e-mail de Netflix comprend des liens authentifiés qui ne le demanderont pas . L'attaquant veut que la victime clique sur les liens des e-mails au lieu de visiter manuellement Netflix, c'est ce qui permet à «Eve» de se reconnecter au compte à l'étape 7. Ou, puisque les liens authentifiés des e-mails de Netflix, «Eve» a peut-être déjà un.)

La situation ci-dessus est en partie due au fait que Netflix (naturellement) ne reconnaît pas la fonctionnalité "Les points n'ont pas d'importance" de Gmail où les e-mails sont envoyés à foo.bar@example.com et à foobar @ example.com se retrouvent dans le même compte. Cela n'a pas vraiment d'importance dans votre cas (étant donné que si c'est ainsi que vous essayez d'être victime d'une arnaque, l'étape 1 a été complètement ignorée), cependant.

Un plus gros problème est que Netflix autorise apparemment toujours les gens pour enregistrer des adresses e-mail dans des comptes sans vérification.

@AndrewSavinykh Beaucoup de gens tomberaient pour cela aussi.Vous voyez un e-mail d'activation et cliquez simplement sur le lien même s'il active réellement le compte Eve.Beaucoup de gens tomberont pour cela même si la réception d'un e-mail d'activation pour un compte que vous avez déjà activé devrait être très suspect.
J'aurais pu jurer avoir trouvé une fois la fonctionnalité «les points n'ont pas d'importance» de gmail spécifiée dans une RFC, mais je n'arrive pas à la trouver.
@Wildcard pour autant que je sache, c'est une fonctionnalité uniquement gmail, ainsi que le `+`
@Gizmo Ignorer un point dans une adresse e-mail est une faille de sécurité maladroite, à mon humble avis.Mais séparer l'adresse e-mail d'un filtre par «+» est assez courant.Dans la configuration par défaut de Postfix de Debian, il lit: `destinataire_delimiter = +`.
@rexkogitans Pourquoi est-ce une faille de sécurité (en supposant que le fait d'ignorer les points est cohérent avec l'enregistrement)?
@CedricReichenbach Ce n'est pas une faille de sécurité pour Google, mais c'est une invitation massive aux attaques de phishing exactement comme le montre l'exemple de jamesdlin: Autres sites utilisant des adresses e-mail comme connexion.
@Gizmo `+` n'est PAS uniquement gmail.
La réponse à votre perplexité à l'étape 7 est que dans le modèle standard, il n'y a pas de réinitialisation de mot de passe.OP est allé raisonnablement directement sur le site Netflix pour y accéder, mais l'e-mail qu'ils ont reçu contenait des liens avec des jetons d'authentification qui auraient permis de changer la carte de crédit sans connaître le mot de passe.C'est un échec majeur de Netflix, où ils accordent la priorité à la commodité de les payer par rapport à la sécurité du client.
@PeterTaylor Ahh, merci pour l'explication.J'étais confus parce que l'article mentionnait les liens authentifiés mais aussi qu'il était passé par le processus de réinitialisation du mot de passe.
Le seul serveur qui devrait même tenter d'analyser la partie avant le signe @ est gmail.com, conformément à la [RFC 5321, section 2.3.11] (https://tools.ietf.org/html/rfc5321#section-2.3.11).Netflix ne fait rien de mal.
J'ajouterais probablement une autre étape 0 à ceci: connectez-vous à Netflix d'une manière telle qu'ils ne puissent pas vous suivre.Sinon, il semble que vous ayez probablement des problèmes entre les mains lorsque la victime appelle Netflix après avoir reçu un supplément sur sa carte de crédit et que Netflix retrace l'adresse IP de la personne utilisant le compte frauduleux.
@corvus_192 Bien que je ne conteste pas que Netflix ne fait rien de mal quant à la façon dont il honore les points dans les adresses e-mail, Netflix * fait * quelque chose de mal en ne vérifiant pas la propriété de l'adresse e-mail fournie.
`Netflix (naturellement) ne reconnaît pas la fonctionnalité" les points n'ont pas d'importance "de Gmail" Je ne pense pas que ce soit particulièrement compréhensible, étant donné que cette fonctionnalité est largement connue.Oui, Google est un tas de solutions pour créer cette fonctionnalité, mais elle existe et nous devons malheureusement y faire face.
Merci pour toutes les réponses utiles.Juste pour clarifier, je n'ai suivi aucun lien dans aucun e-mail, mais je suis allé directement sur le site de Netflix. Toujours très surpris, cependant, qu'un site Web majeur comme Netflix ne respecte pas les pratiques de sécurité standard de plusieurs manières: (a) permet de s'inscrire ou de modifier une adresse e-mail sans vérifier qu'elle appartient à cette personne;(b) ne tient pas compte de la "fonctionnalité" point-dans-e-mail de Gmail;(c) envoie des liens avec des jetons d'authentification dans les e-mails.
@user2760608 Indeed: (a) (ne pas vérifier l'adresse e-mail) est étrange.
Netflix doit donc 1) vérifier l'adresse e-mail 2) exiger un mot de passe lors du changement des options de paiement
@IanKemp La fonction "les points n'ont pas d'importance" empêche BEAUCOUP de mails mal adressés, c'est donc une bonne chose dans mon livre.J'ai utilisé comme email pendant un certain temps david.mulder@somedomainiowned.com et je sais pertinemment que les gens ont mal adressé les mails davidmulder@somedomainiowned.com (car j'avais une configuration fourre-tout).
@IanKemp,, il existe de toute façon d'autres variantes de la fonction «Les points n'ont pas d'importance».Si Netflix a correctement vérifié la propriété de l'adresse, ce ne serait pas un problème.Ni s'il n'envoyait pas de liens pré-authentifiés par jeton dans les e-mails.Voilà les problèmes.
Je ne vois pas comment cela pourrait s'appliquer au scénario OP, puisque l'OP n'a jamais eu de compte Netflix pour commencer?
@MrWhite Comme je l'ai dit, * si * c'est ce qui est tenté, alors «Eve» a sauté l'étape 1. C'est peut-être par paresse, peut-être parne remarquez pas).Quoi qu'il en soit, je pense que l'intention est de tromper la victime en lui faisant payer Netflix pour quelqu'un d'autre.
schroeder
2019-05-12 20:14:18 UTC
view on stackexchange narkive permalink

La situation la plus probable est que quelqu'un a utilisé une adresse Gmail arbitraire (la vôtre) afin de s'inscrire à un essai gratuit, ou a tenté par erreur de changer son adresse e-mail à la mauvaise adresse (peut-être pour qu'un ami / famille reçoive également des e-mails ).

Ce ne serait pas un "piratage" ou même une tentative de phishing, utilisant simplement n'importe quelle adresse disponible. Cela signifie que votre adresse Gmail ne peut pas être utilisée pour un essai gratuit sur Netflix, il y a donc cet impact négatif pour vous.

En passant, en vous connectant au compte de quelqu'un d'autre, vous avez enfreint de nombreuses lois du pays sur "l'accès non autorisé". Je ne prendrais pas l'habitude de faire ça (ou de dire aux autres sur les sites publics que vous avez ".

Hmm, apparemment le "votre compte a été suspendu" est souvent vu dans la nature [quand il s'agit de phising] (https://www.hoax-slayer.net/netflix-your-account-is-suspended-phishing-arnaque/).Peut-être qu'il s'agit bien d'une tentative de phising et que les phisers voulaient que OP clique sur Mot de passe oublié pour abandonner un mot de passe réutilisé.Ou pour ajouter des informations de paiement.
Si quelqu'un enregistre un compte avec vos informations, est-ce vraiment son compte?
@NonnyMoose Je dirais que le compte appartient toujours à la personne qui l'a créé.Si un colis portant votre nom est expédié à la mauvaise adresse, la personne qui y habite a-t-elle le droit d'ouvrir votre colis?En outre, le compte contient probablement des informations personnelles appartenant au véritable créateur / propriétaire du compte - nom, adresse, date de naissance, etc. L'OP n'a pas non plus accepté les termes et conditions ni aucune autre condition préalable à la création d'un compte.Dans ce cas, je voudrais envoyer un e-mail à Netflix et leur expliquer la situation plutôt que de me connecter au compte et de fouiner.
C'est presque certainement quelqu'un qui abuse des essais gratuits de Netflix, pas d'attaquer directement OP.
@NonnyMoose basé sur mes connaissances juridiques limitées, les comptes appartiennent toujours à des personnes (êtres humains physiques) et jamais aux différentes manifestations virtuelles de personnes qui existent
C'est probablement la bonne idée.Je dis ça parce que la même chose m'est arrivée il y a 2-3 mois. Sans autre chose, j'ai écrit au service client "J'ai reçu cet e-mail, réf. Bla bla, et je ne suis pas un client à toi".La réponse était comme: "Oh, merci pour l'avis, nous avons désactivé le compte".
@rshepp ce n'est pas un "colis livré à la mauvaise adresse par erreur" c'est un PersonAB disant "Je veux que cela soit envoyé à la personne XY, mettez son nom et son adresse dessus"
Tout le monde: le concept d '"accès autorisé" n'a *** rien *** à voir avec qui est le nom ou l'adresse e-mail du compte ou la facilité de connexion. En tant que professionnels de la sécurité, veuillez comprendre ce point juridique de base.Si quelqu'un avec mon nom ouvre un compte et utilise par erreur mon adresse e-mail au lieu de sa propre adresse e-mail étroitement liée, cela ne signifie pas que je suis autorisé à accéder au compte.
@Mischa De la question d'origine: _ "Ceci a été adressé à quelqu'un avec un nom réel différent, avec ce nom qui ne ressemble en rien au nom Gmail." _
@rshepp Re "L'OP n'a pas non plus accepté de termes et conditions ou d'autres conditions préalables pour créer un compte": Tant mieux pour eux ;-).Jamais accepté, ne peut violer.(Cela peut ou non affecter d'autres évaluations juridiques, par exemple si le PO a violé le vague [CFAA] (https://www.law.cornell.edu/uscode/text/18/1030).)
mckenzm
2019-05-13 10:48:35 UTC
view on stackexchange narkive permalink
  1. En raison de la politique Gmail "les points n'ont pas d'importance", il est peu probable qu'il s'agisse du compte Netfix de bonne foi de quelqu'un d'autre, à moins qu'une faute de frappe se soit produite dans le nom autre que dot placement.
  2. Même dans ce cas, vous ne devez pas détourner ce compte, il ne vous appartient pas. Donc, ne changez pas l'adresse e-mail pour un autre domaine.
  3. L'escroquerie dépend du fait que vous ayez un compte Netflix et que vous utilisiez votre adresse Gmail pour vous connecter.
  4. Il est peu probable qu'ils aient récupéré votre gmail compte de Netfix, ni d'un compte qui est "similaire à un point agnostiquement" (!), mais encore une fois, des fautes de frappe.
  5. Envoyez simplement un bon exemple à Netflix et créez une règle pour regrouper les futurs e-mails.

Je n'utilise même pas mon adresse Gmail pour Google .

Je ne vois pas en quoi les facteurs politiques «peu importe» dans les choses ici.
Parce que si les points importaient, gmail ne vous enverrait pas de courrier avec des points non correspondants.Netflix voit deux adresses.gmail.com les considère comme la même adresse.OP n'a pas Netflix, donc à moins qu'il ne s'agisse d'une attaque spéculative, l'adresse gmail normale de l'OP n'a pas été supprimée de Netflix après une collision.
En ce qui concerne "Les points n'ont pas d'importance", d'autres adresses sans lesdits points ne peuvent exister: "Votre adresse Gmail est unique. Si quelqu'un essaie de créer un compte Gmail avec une version pointillée de votre nom d'utilisateur, il recevra une erreur indiquant que le nom d'utilisateur est déjà utilisé. Par exemple, si votre adresse est johnsmith@gmail.com, personne ne peut s'inscrire à j.o.h.n.s.m.i.t.h@gmail.com. "
Mais ils peuvent envoyer des e-mails à j.o.h.n.s.m.i.t.h@gmail.com, tout comme Netflix.Il se résout toujours en johnsmith@gmail.com une fois qu'il atteint les serveurs gmail.
Bien sûr, mais "les points" n'étaient pas un problème ici.Je ne vois donc pas en quoi votre réponse est pertinente à cette question.Faire de vraies déclarations sur quelque chose de lié de manière tangentielle ne donne pas de réponse.
The Programmer
2019-05-15 22:37:04 UTC
view on stackexchange narkive permalink

C'est un phénomène courant en raison de la confusion des adresses e-mail.

Je reçois des dizaines à des centaines d'e-mails provenant d'entreprises légitimes (concessionnaires automobiles, département de l'eau et de l'électricité de Los Angeles, Macys.com, notes d'activation de téléphone portable, la société de paie ADP et l'assurance Nationwide) de personnes avec mon prénom et une initiale correspondant à mon nom de famille

Les entreprises pourraient le résoudre ET améliorer la sécurité avec une étape de "double acceptation" consistant à vous demander de confirmer une adresse e-mail avant de l'utiliser.

Le pire était début 2019, lorsque j'ai reçu des dossiers médicaux (le laboratoire aboutit à un fichier .PDF) - une violation claire de la loi HIPAA, car le courrier électronique n'est pas un canal de communication authentifié ou crypté. La personne «dossiers médicaux», qui devrait connaître la loi, était l'expéditeur de l'e-mail.

Dans mon cas, aucun d'entre eux n'est néfaste, mais représente des utilisateurs ignorants ou pire encore, des vendeurs ignorants (comme Lenscrafters dans le Maryland), l'Apple Store à Manhattan, et d'autres trop nombreux pour être mentionnés.

Si les gens veulent inventer une adresse - alors first.last@example.com - est la meilleure. utiliser. Il est invalide par définition dans les RFC Internet.

Avec le recul, j'ai réalisé que mon adresse Gmail est trop courte et qu'elle devrait avoir la même longueur qu'un mot de passe (environ 15 caractères).

En fait, ce n'est pas une violation de la HIPAA si le dossier appartenait au destinataire prévu et que le destinataire prévu a demandé que les informations soient transmises de manière non sécurisée et qu'ils aient été obligés de comprendre les dangers avant la transmission et ont quand même choisi de les envoyer de cette manière.
J'ai également reçu des rapports médicaux (rayons X), mais mon meilleur exemple d'un tel premier mauvais e-mail était une offre d'emploi pour travailler au Département de la sécurité intérieure.
Je reçois toutes sortes de déchets, y compris à un moment donné 7 comptes Skype distincts utilisant tous la même adresse e-mail.Il peut être incroyablement difficile d'être supprimé d'un compte - par exemple le compte OnStar qui me dit toujours la pression des pneus de quelqu'un chaque mois, mais Skype est facile, bien que limité à un certain nombre par jour (3?).
Steve Sether
2019-05-15 23:57:03 UTC
view on stackexchange narkive permalink

Il y a une autre possibilité que personne d'autre n'a identifiée. Quelqu'un a créé un compte d'essai Netflix avec votre adresse Gmail pour essayer de voir si vous avez déjà un compte Netflix.

Si l'interface utilisateur renvoie que cette adresse e-mail est déjà utilisée, elle l'identifie comme un compte contre lequel essayer les tentatives de connexion basées sur le dictionnaire.

ana
2020-05-20 01:17:04 UTC
view on stackexchange narkive permalink

J'ai également reçu des e-mails de Netflix disant que mon compte avait été annulé et qu'il y avait eu une tentative de connexion quelque part des États-Unis ... sauf que je vis au Canada et que je n'ai jamais créé de compte Netflix en premier lieu. Je suis allé directement sur le site Web de Netflix et j'ai pu parler à un représentant, et ils ont supprimé le compte. Il n'y avait pas non plus d'informations de paiement. Je ne comprends pas pourquoi cela s'est produit, soit quelqu'un a une adresse e-mail similaire sans les points, soit il y a peut-être une raison sinistre, mais je ne sais pas. Je me suis demandé si quelqu'un pouvait faire cela en espérant que l'autre personne remplirait ses informations de paiement, activant ainsi le compte.

Bienvenue dans la sécurité de l'information!Cela ne répond pas vraiment à la question, c'est plus un message `` J'ai aussi ce problème ''.Si vous avez une réputation suffisante, [vous pouvez voter pour] (// security.stackexchange.com/privileges/vote-up) la question.Vous pouvez également le «marquer» comme favori et vous serez informé de toute nouvelle réponse.Veuillez lire l'article [réponse] du centre d'aide pour voir ce que nous attendons d'une réponse.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...