Специалисты компании Netflix ликвидировали уязвимость механизма смены пароля, которая позволяла полностью захватить контроль над аккаунтами подписчиков сервиса.
Проблема была обнаружена исследователем информационной безопасности из Австрии, который известен как Slashcrypto. В сервисе Netflix предусмотрено несколько способов смены пароля, включая отправку кода верификации на голосовую почту. Как утверждает Slashcrypto, хакер, зная телефонный номер пользователя, может осуществить подмену номера и смену пароля аккаунта без ведома жертва. Для проведения атаки нужно, чтобы жертва пользовалась услугами оператора мобильной связи, который не обеспечивает должный уровень защиты аккаунтов голосовой почты от взлома.
Эксперт утверждает, что получение доступа к аккаунту Netflix – это достаточно простая задача. Для этого в форме изменения пароля, содержащей идентификатор аккаунта, необходимо осуществить ввод телефонного номера жертвы для автоматического обратного вызова Netflix. Далее нужно перезвонить на номер, применяемый для авторизации. Поскольку номер занят, код верификации отправляется на голосовую почту. Затем злоумышленник должен осуществить подмену Caller ID жертвы для того, чтобы получить доступ к голосовой почте и коду верификации.