Компания Netflix устранила уязвимость, связанную с механизмом смены пароля, позволявшую получить полный контроль над учетными записями пользователей сервиса.
Проблему обнаружил австрийский исследователь в сфере безопасности под псевдонимом Slashcrypto. Сервис Netflix предлагает подписчикам несколько способов изменить пароль, в том числе путем отправки верификационного кода на голосовую почту. По словам Slashcrypto, злоумышленник, которому известен номер телефона пользователя, может подменить номер и изменить пароль учетной записи без его ведома. Как отмечается, атака работает только в том случае, если жертва пользуется услугами сотового оператора, не обеспечившего надлежащую защиту учетных записей голосовой почты от несанкционированного доступа.
По словам эксперта, получить доступ к учетной записи Netflix достаточно просто. Для этого нужно открыть форму смены пароля (с идентификатором учетной записи) и ввести номер телефона жертвы для автоматического обратного вызова Netflix. Затем требуется перезвонить на используемый для авторизации номер. В связи с тем, что номер занят, верификационный код направляется на голосовую почту. На последнем этапе атакующему необходимо подменить Caller ID жертвы для получения доступа к голосовой почте и коду. Ранее австралийский исследователь Шабхэм Шах (Shubham Shah) продемонстрировалпохожий метод, позволяющий обойти двухфакторную аутентификацию на ряде сайтов, предлагающих отправку токенов 2FA на голосовую почту (Google, Facebook, Yahoo, LinkedIn и пр.). (Netflix/NovostIT)