Sicherheitslücke bei Netflix: Darum sollten Sie sich nicht mit einer Gmail-Adresse anmelden

Durch die Sicherheitslücke bei Netflix, können sich Betrüger auf Accounts mit Gmail-Adressen einloggen.
© iStockphoto

12. April 2018 - 19:07 Uhr

So könnten Sie bei Netflix teuer bezahlen

Wer ein Gmail-Konto hat, sollte sich besser eine zweite E-Mail-Adresse zulegen, um sich bei Netflix anzumelden. Sicherheitsforscher James Fisher hat jetzt eine Sicherheitslücke bei dem Streaming-Dienst entdeckt, die Sie viel Geld kosten kann.

Wie funktioniert die Sicherheitslücke?

Gmail ignoriert Groß- und Kleinschreibung sowie Punkte, sodass Gmail-Nutzer sozusagen im Besitz von unendlich vielen Mailadressen sind. Netflix erkennt hingegen jede einzelne Variante als eine eigene E-Mail-Adresse an.

Dazu kommt noch, dass Netflix keine Verifizierungsmails bei der Registrierung verschickt. Das heißt: mit jeder existierenden Gmail-Adresse kann ein Netflix-Account ohne Probleme erstellt werden. Das gibt Betrügern natürlich freie Fahrt.

Deshalb kann sich jemand mit einer Gmail-Adresse bei Netflix anmelden, auch wenn jemand mit dem gleichen Namen und einem Gmail-Account angemeldet ist. Der Betrüger sucht sich eine bereits existierende Gmail-Adresse im Netflix-Anmeldeformular. Angenommen, er findet einen Account mit dem Namen 'RTL@gmail.com', dann erstellt er daraufhin einen weiteren mit 'R.TL@gmail.com'.

Die Anmeldung zum kostenlosen Probemonat erfolgt dann mit einer Prepaid-Kreditkarte ohne Guthaben. Wenn der Probemonat dann vorbei ist, sendet Netflix eine automatische E-Mail zur Zahlungsanforderung an 'R.TL@gmail.com', die dann jedoch bei 'RTL@gmail.com' landet, weil Gmail ja keinen Unterschied macht zwischen einer Mailadresse mit, und einer ohne Punkt.

So ziehen Betrüger Ihnen unbewusst das Geld aus der Tasche

Der echte Benutzer liest die E-Mail von Netflix, die ja kein Scam ist und denkt, dass er seine Zahlungsinformationen aktualisieren soll. Wenn er dann auf den Link in der E-Mail klickt, landet er aber nicht in seinem Account bei Netflix, sondern in dem des Betrügers. Wenn er dort seine Kontodaten eingibt, zahlt er fortan für den Betrüger auch noch die Netflix-Gebühren – zusätzlich zu seinen eigenen.

Wenn der Betrüger dann noch die E-Mail-Adresse ändert, so wird der echte Benutzer aus seinem eigenen Account ausgesperrt. Wenn die Betrüger einmal die Kreditkarten-Informationen haben, können sie diese auch auf anderen Plattformen anwenden und sich dafür des Opfer-Kontos bedienen.

Der Sicherheitsforscher James Fisher fordert jetzt eine Verifizierungs-Pflicht bei Netflix. Solange diese Sicherheitslücke von Netflix und Gmail nicht behoben ist, sollten Sie sich erstmal nicht mit einer Gmail-Adresse bei Netflix anmelden. Haben Sie das schon getan, sollten Sie das sofort ändern und eine andere Mailadresse dafür verwenden.