Vulnerabilidade na Netflix facilita roubo de contas

A Netflix está a enfrentar um caso curioso, de uma vulnerabilidade pela qual se recusa recompensar o investigador que a reportou - mas a quem exige que fique caladinho e não a divulgue ao mundo.

A falha descoberta por Varun Kakumani acaba por ser bastante embaraçosa para a Netflix, pois consiste no aproveitamento de cookies das sessões que continuam a ser transmitidos via HTTP e não via HTTPS, assim podendo ser interceptados por um qualquer utilizador malicioso na mesma rede, ou em ataques MitM (Man-in-the-Middle). No entanto, quando a vulnerabilidade foi reportada à Netflix, o serviço disse que a mesma não se qualificava para o âmbito de receber qualquer recompensa.

Só que o pior ainda estava para vir. Para além de indicarem que não iria receber qualquer recompensa, o serviço Bugcrowd usado pela Netflix, informou-o também que ficava impedido de revelar esta vulnerabilidade publicamente ou a discutir com qualquer outra pessoa. Algo que o investigador, compreensivelmente, não acatou, partilhando o sucedido - incluindo até alguns vídeos que demonstravam a falha em acção, e que contrariavam a explicação da Netflix que alegava que a falha reportada, por si só, não permitia que um atacante se apoderasse da conta de outra pessoa (entretanto os vídeos já foram removidos, por "exigência" da Netflix).

Embora seja positivo que os serviços tenham programas de recompensas para vulnerabilidades e falhas de segurança, importa também assegurar que os mesmos funcionam devidamente. Acima de tudo, será seguramente abusivo esperar que um investigador que descubra uma falha que considera ser grave (e pela qual não seja recompensado), aceite ficar "calado" com este tipo de ameaça de que não poderá falar sobre ela.

... Depois que não se admirem por descobrirem que estas falhas sejam preferencialmente postas à venda em fóruns de hackers, pondo em risco os utilizadores destes serviços.