Netflix-Nutzer aufgepasst: Wenn ihr euch mit einer Gmail-Adresse beim Streaming-Anbieter registriert habt, könnt ihr Opfer von Phishing-Attacken werden. Selbst offiziellen Zahlungsaufforderungen ist derzeit nicht zu trauen. Was ist da los?
Netflix und Gmail ist keine gute Kombination
Gmail bietet seinen Nutzer eine Funktion, die gar nicht mal so bekannt ist. Für den E-Mail-Dienst ist es nämlich nicht relevant, ob Nachrichten an zuckerberg@gmail.com oder zucker.berg@gmail.com geschickt werden – ein Punkt oder mehrere Punkte im Benutzernamen werden ignoriert und die Mail kommt trotzdem an. Jeder Nutzer von Gmail hat also immer mehrere E-Mail-Adressen, und genau hier beginnt das Problem.
Bei einer einfachen Registrierung bei Netflix muss natürlich auch eine E-Mail-Adresse angegeben werden. Allerdings verzichtet der Streaming-Anbieter auf eine Verifizierung, das heißt, es kommt keine E-Mail, in der auf einen Bestätigungslink geklickt werden muss. Netflix erlaubt also zum Beispiel zwei Benutzerkonten, eine über zuckerberg@gmail.com und eine über zucker.berg@gmail.com. Was auf den ersten Blick vielleicht nicht besonders schwerwiegend klingt, wird bei näherer Betrachtung zu einem echten Sicherheitsproblem. Ein Nutzer könnte sich mit dem zweiten Benutzerkonto registrieren und Netflix über eine Prepaid-Kreditkarte bezahlen. Befindet sich auf dieser kein Geld mehr, wird eine offizielle Zahlungsaufforderung verschickt – wohlgemerkt an den Besitzer des ersten Benutzerkontos, denn Gmail unterscheidet wie beschrieben nicht zwischen beiden E-Mail-Adressen.
Sollte es also vorkommen, dass ihr eine offizielle Nachricht von Netflix bekommt, in der es um eine Aktualisierung der Zahlungsmodalitäten geht, ist höchste Vorsicht geboten. Überprüft genau, um welche Kreditkarte es geht. Kennt ihr die Kreditkartennummer nicht, gebt keine neue Kreditkarte an – sonst bezahlt ihr für das Netflix-Vergnügen eines Betrügers. Nicht nur bei Netflix lauern Gefahren, wie unsere Bilderstrecke zeigt.
Netflix oder Gmail: Wer trägt die Schuld?
Googles E-Mail-Dienst ignoriert Punkte im Benutzernamen, Netflix verifiziert E-Mail-Adressen nicht, schon ist das Sicherheitsproblem da. Netflix sollte dringend eine Verifizierung einführen, auch wenn sie einen kleinen Zwischenschritt bei der Registrierung bedeutet. Auch Gmail ist in der Pflicht, da die ignorierten Punkte ein Feature sind, auf das die meisten Nutzer auch einfach verzichten können. Die Möglichkeit zur Deaktivierung in den Gmail-Einstellungen wäre angebracht. Immerhin hat Netflix nun bereits offiziell angekündigt, sich um das Problem kümmern zu wollen.
Quelle: James Fischer, Trusted Reviews via Filmstarts.de