Warum Netflix-Nutzer mit Gmail-Account aufpassen sollten

Nutzer, die mit einem Gmail-Konto bei Netflix registriert sind, könnten theoretisch abgezockt werden. Denn Kriminelle versuchen derzeit, an Kreditkartendaten der Streamingdienst-Abonnenten zu gelangen. Die Betrüger sind darauf aus, dass Gmail einerseits nicht zwischen Gross- und Kleinschreibung eines Nutzernamens unterscheidet und andererseits auch Punkte in den Adressnamen ignoriert. Bei der Onlinevideothek wird das ausgenutzt, weil sich theoretisch mehrere User mit ähnlichen E-Mail-Adressen für dasselbe Netflix-Konto registrieren können. Reicht das Geld einer Kreditkarte oder Prepaid-Karte nicht mehr, landet eine Zahlungserinnerung mit den hinterlegten Karteninformationen somit möglicherweise in mehreren Postfächern. Die zweite Schwachstelle: Netflix führt offenbar keine E-Mail-Validierung durch, wenn man sich registriert. 

Wie Cyberganoven die sich daraus ergebende Sicherheitslücke ausnutzen können, beschreibt der Sicherheitsforscher James Fisher in einem typischen Vorgehen: 

1. Ausgangsszenario: Der Kreditkartengauner will sich auf einen bestimmten Namen eine gmail.com-Adresse anlegen und diese ist schon bei Gmail registriert. Sagen wir, man suche nach dem Opfer simongroeflin.

2. Dann generiere man einfach eine Adresse wie simon.groeflin. 

3. Der Täter registriert sich nun für eine Gratis-Mitgliedschaft bei Netflix mit einer Prepaid-Kreditkarte und bricht diese nach der Gratis-Periode ab. 

4. Dann fragt Netflix wieder simon.groeflin nach einer gültigen Karte.

5. Der Täter muss dann nur noch darauf hoffen, dass Netflix die Zahlungsaufforderung an simongroeflin schickt und der andere User seine Karteninformationen eintippt. 

6. Danach wird der Netflix-Account einfach übernommen, indem der Täter auch die E-Mail-Adresse beim Netflix-Konto auswechselt. 

7. Jetzt kann der neue User eine längere Zeit gratis Netflix schauen und der User simongroeflin ist ausgesperrt.

Wir konnten noch nicht überprüfen, ob diese Masche derzeit nur mit US-Zahlungsmitteln ausgenutzt werden kann. Auf jeden Fall sollten User im Moment vielleicht besser nicht Gmail als Netflix-E-Mail-Adresse hinterlegen, bis hier eine neue Authentifizierung greift. Schlussendlich will auch Netflix nur nutzerfreundlich sein. Eine initiale Aktivierungsmail für Netflix wäre aber sicher keine schlechte Idee.