Netflix hat ein Problem. Nein, eigentlich haben Netflix-User ein Problem, nämlich wenn sie eine GMail-Adresse verwenden. Dann kann es passieren, dass sie irrtümlich plötzlich für einen fremden Account zahlen…

Das Problem ist einfach und doch komplex: GMail erachtet Punkte in E-Mail-Adressen als nicht signifikant. “max.mustermann@gmail.com”, “maxmustermann@gmail.com”, “m.axmu.st.erm.ann@gmail.com”, all diese E-mail-Adressen werden gleichbehandelt. Das ist praktisch, weil es Verwechslungen verhindert und weil man so mehrere E-Mail-Adressen freihaus bekommt.

Blöd nur, dass sich Netflix darauf verlässt, dass der Punkt in E-Mail-Adressen signifikant ist. Dass also “max.mustermann” und “maxmustermann” zwei verschiedene E-Mail-Accounts sind. Noch blöder ist allerdings, dass Netflix nicht zuerst die E-Mail-Adressen überprüft sondern es bei neu angemeldeten Accounts gleich einmal gestattet, Kreditkarteninfos einzugeben und loszuschauen. Wenn jetzt aber die Belastung der Kreditkarte fehlschlägt, dann wird der vermeintliche Inhaber des Accounts per E-Mail aufgefordert, neue Kreditkarteninfos einzugeben. Und wahrscheinlich viele tun das, weil sie sich nichts Böses dabei denken. Und schon sieht ein Fremder auf ihre Rechnung Netflix…

An diesem Beispiel sieht man wieder, wie schwer Sicherheit ist. Wobei: dass Netflix auch nur irgendeine Transaktion vornimmt bevor die Identätit des Benutzers über seine E-Mail-Adresse verifiziert worden ist, ist höchst unprofessionell.

Aufgefallen ist das James H. Fisher, weil er fast darauf reingefallen wäre. Niedergeschrieben hat er es in seinem Blog: https://jameshfisher.com/2018/04/07/the-dots-do-matter-how-to-scam-a-gmail-user.html

Follow me

Roland Giersig

Vizepräsident bei Digital Society
Roland Giersig ist Physiker, studiert Rechtswissenschaften, ist Sicherheitsexperte und Inhaber und Geschäftsführer der Firma SafeSec. Seine Anliegen sind besonders die Transparenz der öffentlichen Verwaltung und die Einhaltung der Grundrechte im digitalen Raum.
Follow me