Gmail adresinizle Netflix'e üye olduysanız 'nokta'ya dikkat edin

Netflix'e üye olurken Gmail adresinizi kullandıysanız, ödeme bilgilerinizi yenilemenizi isteyen herhangi bir e-posta geldiğinde dikkat edin. Çünkü, Gmail'in, “noktalar önemli değil” özelliği nedeniyle, kart bilgilerinizi başka birinin Netflix hesabına eklemenize sebep olabilecek bir "kimlik avı dolandırıcılığına" maruz kalabilirsiniz.

Gmail ve Netflix, bilinen bir güvenlik açığı olmayan iki sistemin bir araya gelerek güvenlik açığı oluşturmalarına örnek olacak bir olaya neden oldular. Bir Gmail ve Netflix kullanıcısı, Gmail'in “noktalar önemli değil” özelliği sebebiyle, kart bilgilerini başka birinin Netflix hesabına eklemesine neden olabilecek bir e-posta aldı ve bu durumun yeni bir kimlik avı dolandırıcılığı yöntemi olarak kullanılabileceğini fark etti.

Açığı farkeden James Fisher, 2013 yılında [email protected] adresini kullanarak Netflix'e kaydolmuş. Farklı bir eyalette benzer bir ada sahip bir kişi de, Gmail’in “noktalar önemli değil” özelliği sebebiyle [email protected] adresiyle aynı kabul ettiği [email protected] adresini Netflix'e kaydolmak için kullanmış. Faturalandırmada bir şeyler ters gittiğinde, Netflix adresin noktalı versiyonunun arkasında başka birinin olduğunu bilmeden gerçek Fisher'a e-posta göndererek kredi kartı bilgilerini yenilemesini istemiş.

Kredi kartı numarasını yenilemesine, daha doğrusu bir başkasının Netflix hizmeti için ödeme yapmasına saniyeler kala durumu fark eden Fisher yaşadığı olayı şöyle anlatıyor: “E-posta gerçekten netflix.com'dan geliyordu, bu yüzden bağlantıya tıkladım. Oturum açıldı ve beni gerçekten netflix.com'da barınan ‘Kredi veya Banka Kartını Güncelle’ sayfasına götürdü. Burada herhangi bir kimlik avı yok. Ama bekleyin, ‘Güncelleme’ sayfası reddedilen kartımı **** 2745 olarak gösterdi. Bu tanımadığım bir kart numarası. Kayıtlarımı kontrol ettim, bu kart numarasını daha önce hiç görmedim. Neler oluyor? Sonunda bu e-postanın aslında [email protected] adresine gönderildiğini anladım. Normalde ise hiçbir nokta olmadan [email protected] e-posta adresini kullanıyorum. Bu e-postanın geri döneceğini düşünebilirsiniz, ancak bunun yerine benim gelen kutuma ulaştı. Çünkü Gmail adreslerinde ‘noktalar önemli değil’.”

GMAIL'İN 'NOKTALAR ÖNEMLİ DEĞİL' ÖZELLİĞİ NEDİR?

Gmail adreslerinde nokta işaretlerinin önemi yoktur. Birisi size e-posta gönderirken adresinize yanlışlıkla nokta eklerse söz konusu e-posta yine de size ulaşır. Örneğin, e-posta adresiniz [email protected] ise adresinizin tüm noktalı alternatiflerine sahipsiniz demektir.

Örneğin; [email protected], [email protected], [email protected]

BU DURUM KİMİN HATASI?

Yaşanan sorunun Netflix’in hatası olduğu düşünülebilir. Netflix’in, kayıt sırasında e-posta adresini doğrulaması gerekir. Ancak bu sırada başka birinin adresini kullanmak sadece hesabın kontrolünü o kişiye devreder. Netflix'in [email protected] kaydına izin vermemesi gerektiği de düşünülebilir ancak bu, Netflix'i ve diğer tüm web sitelerini Gmail’in algoritması hakkında içsel bilgiye sahip olmaya zorlayacaktır. Bu durumda asıl sorunun Gmail’in “noktalar önemli değil” özelliğinde olduğu söylenebilir. Öncelikle, hiç kimse bu sonsuz e-posta adresleri setini istemez. Hatta kullanıcıların çoğu, bu adreslere sahip olduklarının farkında bile değildir. Kendi sonsuz adres kümelerinin farkında olan Gmail kullanıcıları bile, bunların ortaya çıkarabileceği dolandırıcılıklardan habersizdir.

Soruna dair uyarıda bulunan Bitdefender Antivirüs uzmanlarına göre bu durum, standart bir kimlik avı dolandırıcılığının, iki hizmet arasındaki dikkatsizlikten nasıl yararlanabileceğini gösteriyor. Netflix üyeliğiniz için birini kandırıp ödeme yaptırmanız komik derecede kolay görünüyor. Güvenlik uzmanları bu durumu, güvenlik açığı olmayan iki sistemin bir araya gelerek güvenlik açığı oluşturmasına örnek olarak tanımlıyor. (MEDYA SERVİSİ)