Netflix-Sicherheitslücke: So einfach verhindert ihr den Betrug mit Gmail-Konten
©

Netflix-Sicherheitslücke: So einfach verhindert ihr den Betrug mit Gmail-Konten

Bild von Michael Zeis
Veröffentlicht

Aktuell kursieren einige falsche Berichte zu den Gefahren, die es für euren Netflix-Account haben kann, wenn ihr dort mit einer Googlemail-Adresse angemeldet seid. Tatsächlich existiert eine massive Sicherheitslücke, aber wie sie funktioniert und in welcher Situation genau ihr aufpassen solltet, wird vielerorts falsch verstanden. Wir klären euch auf.

Als der Sicherheitsforscher James Fisher auf seinem Bock einen Artikel namens „The Dots Do Matter: How To Scam A Gmail User“ veröffentlichte, horchten vor allem die Netflix-Kunden auf. Schließlich waren es ihre Netflix-Konten, die durch die von Fisher offenbarte Sicherheitslücke gefährdet waren. Dass diese Lücke auf eine Weise ausgenutzt werden kann, die selbst Otto-Normal-User hinkriegt, macht die ganze Sache nicht gerade weniger beunruhigend. Eher im Gegenteil.

Das Problem basiert auf der Tatsache, dass Google für seine Googlemail- bzw. Gmail-Adressen nicht zwischen beispielsweise [email protected] und [email protected] unterscheidet. Etwaige Punkte vor dem @-Zeichen werden konsequent ignoriert. Ihr könntet also auch an [email protected] schreiben – eure Nachricht würde im selben Postfach landen wie bei den beiden oben genannten Adressen.

Genau das ist der Punkt, der bei einigen Berichten falsch verstanden wurde: Google legt NICHT mehrere E-Mail-Konten im genannten Beispiel an, auf die verschiedene Leute Zugriff haben, je nachdem, mit welcher der Adressen sie sich registriert haben. Google prüft bei der Registrierung alle Varianten mit und ohne Punkte und lässt die Registrierung nur zu, wenn diese Adresse noch nicht vorhanden ist. Die Gefahr besteht also nicht darin, dass Mails, die für euch gedacht sind, bei jemand anderem ankommen könnten. Die Gefahr lauert direkt in eurem Postfach.

Und hier kommt Netflix ins Spiel. Wie James Fisher in seinem Artikel beschreibt, behandeln Google und Netflix E-Mail-Adressen grundverschieden. Netflix unterscheidet nämlich im Gegensatz zu Google zwischen [email protected] und [email protected]. Würde sich also jemand mit der ersten Adresse bei Netflix registrieren, könnte sich trotzdem noch ein anderer mit der zweiten Adresse bei Netflix ebenfalls registrieren.

Nennen wir die beiden der Einfachheit halber User 1 und User 2. User 1 hat bei Google die E-Mail-Adresse [email protected] registriert und deshalb – wie oben beschrieben – auch gleichzeitig automatisch alle Varianten dieser Adresse mit Punkten irgendwo dazwischen. Bei Netflix registriert er sich nun mit [email protected].

Doch irgendwann kommt User 2 daher und registriert sich ebenfalls bei Netflix, allerdings nicht mit seiner eigenen Adresse, sondern mit [email protected]. Da die E-Mail-Adresse bei Netflix für die Account-Registrierung nicht bestätigt werden muss, stößt User 2 auf keinerlei Probleme. Als Zahlungsdaten gibt er irgendetwas ein, das zumindest eine Zeit lang funktioniert, z.B. eine bald ablaufende, eigene Kreditkarte.

Sobald die automatische Zahlung der Abogebühr bei Netflix nicht mehr funktioniert, schickt Netflix eine Benachrichtigungsmail an [email protected] – und diese Mail landet im Postfach von User 1. Der wundert sich vielleicht kurz, sieht dann aber nach einer schnellen Überprüfung, dass die E-Mail tatsächlich von Netflix kommt, und ordnet sie deshalb nicht als Phishing-Mail o.ä. ein.

In der Netflix-Mail wird darum gebeten, die Zahlungsinfos zu aktualisieren. Hierfür ist ein Link in der Mail enthalten, der User 1 direkt in den Netflix-Account einloggt – aber nicht, wie er vielleicht denkt, in seinen eigenen, sondern in den Netflix-Account von User 2. Wenn User 1 also nicht bemerkt, dass er sich im falschen Account befindet und hier nun z.B. seine Kreditkartendaten aktualisiert, zahlt er in Zukunft für den Netflix-Account von User 2 (und davon unberührt auch weiterhin für den eigenen).

Was kann gegen diese Sicherheitslücke unternommen werden? Im Grunde genommen sollten sich entweder Netflix oder Google darum kümmern, etwas dagegen zu tun. Beispielsweise könnte Netflix keinen Link in die angesprochene E-Mail einbauen, der einen automatisch in einen Netflix-Account einloggt, sondern stattdessen zur Login-Seite führt, wo man sich mit seinen eigenen Daten per Hand einloggen muss. Oder Google sieht ein, dass die Idee, Punkte in Mail-Adressen zu ignorieren, vielleicht doch nicht so gut war …

Was könnt ihr selbst tun? Vor allem genau hinsehen. Achtet nicht nur wie sonst darauf, woher genau die Mails kommen, sondern auch, an welche Adresse sie gesendet wurden. Wenn es sich nicht um genau eure Googlemail-Adresse handelt, sondern irgendwo Punkte hinzugefügt oder entfernt wurden, wisst ihr dank dieses Artikels nun Bescheid, worum es sich dabei handelt.

AltersempfehlungAb 12
Gesprächswert99%