2019/12/01

Hackers reactivam contas canceladas da Netflix


Lidar com contas roubadas da Netflix pode ser uma dor de cabeça que não termina com o cancelamento da conta, com os hackers a conseguirem reactivá-las com facilidade.

Credenciais roubadas de acesso a contas Netflix são um produto bastante desejado no sub-mundo dos mercados mais obscuros da internet, já que muitas vezes permitem o acesso ao serviço sem que os legítimos donos se apercebam disso durante meses. Mas a parte mais chata é que mesmo os clientes que decidam tentar cortar o mal pela raiz, cancelando a sua conta, podem não ficar tão livre de chatices quanto poderiam imaginar.

Diria o senso comum que a partir do momento em que se cancelasse um serviço, não se teria que pensar mais no assunto. O problema é que o facto da Netflix manter os dados dos clientes por 10 meses para facilitar o processo de reactivação de conta faz com que esse processo funcione também em proveito dos utilizadores fraudulentos. Quem conseguir aceder a uma conta Netflix cancelada, por exemplo, através dos leaks de passwords repetidas noutros sites, pode reactivar o serviço sem precisar de introduzir novos dados de pagamento.

Embora se perceba o desejo da Netflix facilitar a vida aos clientes que têm por hábito cancelar e reactivar o serviço com frequência (a proliferação de serviços de streaming acaba por incentivar esse tipo de prática: por exemplo, dedicando um mês à Netflix, o mês seguinte ao Disney+, etc. de forma a pagar apenas uma mensalidade e ir circulando pelos serviços), provavelmente haverá que implementar uma validação adicional antes de começarem a debitar seja o que for...

6 comentários:

  1. Não sou cliente Netflix, mas parece que as pessoas terão de fazer algumas coisas como terminar a sessão a todos os dispositivos, mudar a sua senha para algo com por exemplo 40 caracteres de toda a espécie (ex.: fxP,tV|x]t4g7Td9b9<}BOcGIYUo+1J5Zhyqrr*q ~267 bits de segurança) e guardar num gestor de passwords por exemplo, remover o telemóvel de recuperação de senha para não facilitar o furto dos dados de acesso por essa via.

    A Netflix poderia permitir adicionar chaves físicas FIDO U2F/ FIDO2 ou o novo SQRL (Secure Quick Reliable Login) para que mesmo que furtem os dados da base de dados não consigam ultrapassar a segurança extra baseada em chave pública/ privada.
    Neste caso ter um código que muda a cada 30 segundos não serviria, porque se furtarem a base de dados conseguirão ver qual é a chave secreta que o cliente utiliza... e ultrapassar isso sem problema. As chaves FIDO custam no mínimo uns 30 euros com os portes e taxas, mas enfim, dão para mais coisas... e se evitarem fraudes podem pagar-se a elas próprias. O SQRL é só descarregar uma aplicação, gerar a chave na aplicação e utilizar a mesma nos web sites que suportarem... existem versões gratuitas para todas as plataformas. Futuramente existe a possibilidade de existirem também chaves de segurança física SQRL para ser ainda mais seguro, mas para já não existem, ainda quase ninguém demonstrou verdadeiro interesse em integrar tal em algo existente ou criar algo novo para tal (excepto a Yubico que aparentemente demonstrou interesse em ter alguma coisa para tal futuramente segundo o próprio autor do SQRL), mas como é uma especificação aberta é possível que venha a ser adoptado mas geralmente no futuro.

    ResponderEliminar
    Respostas
    1. Honestamente confio mais num pedaço de papel bem guardado que num gestor de passwords.

      Eliminar
    2. Também confio mais num pedaço de papel bem guardado que num gestor de senhas... que até pode estar a enviá-las todas para algum servidor de forma desprotegida.
      Mas mesmo assim, se for um bom gestor de senhas local, sem ligação à Internet, será mais seguro que ter num ficheiro desprotegido (txt normal) ou num papel à vista de todos.

      Mas para o efeito é só para conseguirem utilizar uma senha complicada de mais para ser adivinhada, mesmo que furtem a base de dados da Netflix.

      Eliminar
  2. Tanto trabalho...basta usar mb net de compra única ou comerciante e cancelar o cartão. Done.

    ResponderEliminar
    Respostas
    1. Há utilizadores do Netflix que não moram em Portugal, nem todos os países/bancos têm acesso à criação de cartões de crédito com utilizações limitadas.

      Eliminar
    2. Já começam a aparecer cada vez mais propostas de solução tipo privacy.com onde se pode gerir os cartões de crédito de tal maneira que só podem ser utilizados com aquele único comerciante, e dentro do limite monetário estipulado (uma vez/ mensalmente/ etc.) e que ainda permitem "funcionar", "pausa" (é válido, mas não aceita operações), "parar de utilizar" (deixa de ser válido).

      Isso é bom, mas a maior parte das pessoas ainda não usufrui de tal.
      A proposta é para tentar evitar que a malandragem possa reactivar a conta, porque a empresa vai considerar o cliente dessa conta o responsável pelo pagamento, e vai tentar cobrar o serviço a essa mesma pessoa! E depois o cliente que nada fez de errado, tem de andar à luta com a empresa e eventualmente ir a tribunal onde mesmo que ganhe o processo tem de gastar tempo, dinheiro, recursos que poderiam ser evitados em primeiro lugar se os malandros não conseguissem utilizar a sua (antiga) conta.
      É obviamente responsabilidade da netflix não dar a possibilidade de eliminar a conta de forma irrecuperável ao cliente final, de forma fácil, ali no interface, de tal forma que mesmo que o próprio cliente quisesse recuperar a conta não pudesse, e tivesse de criar uma conta nova.
      Mas isso não impede a empresa de ir atrás de quem ela acha que lhe deve, até que se prove que existiu falcatrua.

      Eliminar