Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Criminelen kunnen Netflix-account heractiveren door gebrek aan beveiliging

Criminelen hebben Netflix-accounts die niet meer actief waren opnieuw geactiveerd zonder daarbij te weten met welke gegevens gebruikers betalen. Dat komt omdat Netflix-accounts niet te beveiligen zijn met tweetrapsauthenticatie en Netflix geen bevestiging stuurt van heractivatie.

Betaalgegevens opnieuw invoeren is niet nodig, doordat Netflix de betaalgegevens van gebruikers tien maanden lang bewaart, meldt BBC. Vervolgens hoeven gebruikers bij het heractiveren van het account niet opnieuw betaalgegevens in te vullen om een betaald abonnement af te sluiten. De BBC haalt enkele voorbeelden aan waarbij criminelen hier misbruik van maakten.

De functie is bedoeld om het makkelijk te maken opnieuw betalende klant te worden, maar heeft volgens de BBC als bijwerking dat gebruikers van wie het wachtwoord is gestolen, ineens betalen voor een abonnement dat ze niet zelf hebben afgesloten. Het stelen van het wachtwoord kan via datalekken, waarna criminelen proberen of het Netflix-wachtwoord hetzelfde is als die gebruikers bij andere diensten gebruiken. Zij kunnen geld verdienen aan die praktijk door de toegang tot het account te verkopen.

Netflix had deze manier van fraude kunnen voorkomen door het invoeren van tweetrapsauthenticatie voor accounts en door het sturen van een bevestigingsmail als gebruikers opnieuw een abonnement aanvragen. Beide is momenteel niet mogelijk bij de streamingdienst.

Het is onbekend hoeveel mensen slachtoffer zijn van deze manier van fraude. Netflix geeft geen cijfers en BBC heeft alleen anekdotes van slachtoffers. Netflix gaf in ten minste één geval niet al het geld terug aan een voormalige klant na ontdekking van de fraude. Het is niet mogelijk om een individueel betaalmiddel te verwijderen uit een account, ook niet na deactivatie.

Door Arnoud Wokke

Redacteur mobile

29-11-2019 • 08:06

69 Linkedin Google+

Reacties (69)

Wijzig sortering
Misschien is het mijn ochtendhumeur maar die titel is wel wat negatief/sensatiezoekend hoor. Iedereen kan zijn/haar account heractiveren zonder betaalgegevens opnieuw in te voeren. 'Criminelen' kunnen - al dan niet via standaardmethodieken, zoals phishing of leaks via andere sites - het wachtwoord misbruiken.

Dat je je account kan heractiveren is niet nieuw, dat je wachtwoorden niet moet hergebruiken op websites is niet nieuw, wat is nog de nieuwswaarde van dit artikel? Dat Netflix het niet toelaat een betaalmiddel te verwijderen?

Enfin, het lijkt mij zinvoller dat de nadruk zou moeten liggen op betere beveiliging, inzet van 2FA (wat het hele probleem met wachtwoorden gokken zou moeten kunnen voorkomen) en inzet van een bevestigingsmail voor het (her)activeren.
Helemaal mee eens. Echter kan Netflix bijvoorbeeld de laatste 2 cijfers van het (voor hun bekende en opgeslagen) rekeningnummer opvragen ter verificatie.
meestal gebruiken ze 4 cijfers toch, bij 2 is de gokkans net wat te groot.
beetje mierenziften van mijn kant, maar zoiets lijkt me wel een goed idee.
4 ja.

Heb zelf gehad dat mijn account ineens werd overgenomen midden in de nacht. Email en wachtwoord verandert dus kon er compleet niet meer bij.
Support heeft mijn account naar mij hersteld en vroegen daar inderdaad om de laatste 4 cijfers van mijn laatste factuurnummer (dus geen rekeningnummer).
Ze moeten gewoon de betaalinformatie verplicht opnieuw laten invullen bij heractivatie. En deze deleten als een gebruiker stopt met de dienst.
Het lijkt me meer logisch dat bij het heractiveren een check wordt uitgevoerd op de betaal gegevens. Zoals de cvc bij een creditcard bijvoorbeeld.
Hebben jullie onderzocht of het wel avg conform is dat netflix het verwijderen van een betaalmiddel niet toestaat. Onder de avg mag je gegevens laten verwijderen tenzij die wettelijk bewaard moeten worden.
Lijkt mij dat je mag eisen dat een betaalmiddel verwijderd kan worden, als netflix dat niet toestaat kan dat dus een avg overtreding zijn.
ik snap waar je heen wilt, maar aangezien het om betalingen gaat voor een bedrijf heb je sowieso te maken met 7 jaar bewaarplicht voor de belastingdienst. dat ze deze gegevens moeten opslaan, is dus niet de discussie.

het actief aanbieden aan de gebruiker daarentegen valt wel wat voor te zeggen.
alsof ik mijn creditcard aan jou geef met als reden: stel dat ik ooit weer wat bij je koop, dan bespaart me dat het aanleveren van deze gegevens.

naar mijn mening zou deze stap volledig bij de gebruiker moeten liggen met een default: nee.
je ziet het terug bij elke webshop: checkbox met bewaar mijn gegevens voor volgende aankoop.
Ik ben het met @_BladE2k_ eens. Het artikel is niet zo sterk. Maar ik heb, zoals gevraagd, een topic aangemaakt in Geachte Redactie. Nog even mijn mening:
  • Gelekte wachtwoorden kunnen misbruikt worden door 'criminelen'.
  • Netflix heeft geen tweetrapsauthenticatie.
  • Netflix bewaart betaalgegevens.
Geen van deze drie feiten is echt nieuws. De combinatie is een leuk onderwerp voor een achtergrondartikel, maar in mijn ogen ook niet echt nieuws.
Ik ben slachtoffer geweest van dit soort fraude. Ze hebben mij 3 maanden teruggestort terwijl het meer dan 3 jaar aan de gang was. Aangezien ik een ander Netflix account had viel het mij niet op dat er twee keer per maand werd afgeschreven. Als ik Netflix zag staan dacht ik gewoon "ja dat klopt ik heb netflix". Pas toen ik op gegeven moment mijn Netflix heb opgezegd en ik nog steeds afschrijvingen kreeg ging er een lampje branden. Heel kwalijke zaak dat je met een druk op de knop een abonnement wat je niet zonder reden geannuleerd hebt weer kan activeren.
wat was hun motivatie dat je maar 3 maanden terug gestort kreeg?
"wij kunnen niet meer dan 3 maanden doen, voor de rest moet je bij je credit card maatschappij zijn". Mijn credit card maatschappij zei ja had je maar niet je creditcard nummer aan je vriendins account moeten koppelen en ik moet mijn uitgaves bij houden. Je snapt ook wel dat ze zich er uit lullen maar ik heb ook geen poot om op te staan. Ik kan namelijk niks aantonen. Ik kan er niet eens achter komen of het nou de account van mijn ex was want de Netflix medewerker mag mij niet vertellen op wel email adres het account gekoppelt was. Maar ik mag ondertussen wel de rekening betalen.
Edit: uiteindelijk hebben ze zonder mij te vragen het account veranderd naar een alternatief email adres van mij. Omdat ik erop stond dat ik de gegevens van de account moest hebben. Toen hebben ze alle data overschreven en is het originele adres weg. Alleen bij de accounts staat dan wel de naam van mijn vriendin maar al het bewijs is weg omdat ze of geen logs hebben. Of mij geen logs mogen geven of mij geen logs willen geven.

Mijn ex zegt dat ze zeker niet het account heeft opnieuw geactiveert maar het kan wel dat ze slordig met het wachtwoord is omgegaan. Netflix raad mij dan ook aan om mijn ex vriendin aan te klagen. Maar ik denk dat daar dan ook weer niemand gelukkig van wordt.

[Reactie gewijzigd door jonathan_glk op 29 november 2019 15:17]

Ik weet niet hoor maar ik heb bij toeval gister m'n Netflix geheractiveerd en kreeg gewoon netjes een "welkom terug" e-mail:

Hi Bart

You're all set to start enjoying TV programmes & films.

Your Account Information:

Email
XXX@XXX

Service Provider
‪Netflix International B.V.‬

Plan
Premium

Plan Price
€13,99/month

Payment
VISA: •••• •••• •••• XXXX

We're here to help if you need it. Visit the Help Centre for more info or contact us.
– Your friends at Netflix
Daarom dat je dit soort diensten altijd via een tussenpartij moet betalen (PayPal, kredietkaart...). Dienstverlener gaat over de schreef? Geld terughalen. Ja, je Netflix account zal waarschijnlijk geblokkeerd worden, maar een nieuw account met e.v.t. een nieuw betaalmiddel is zo aangemaakt. Dus als je later ooit wel weer van Netflix gebruik wilt maken is er niets aan de hand.

[Reactie gewijzigd door The Zep Man op 29 november 2019 08:09]

Zelf betaal ik zoveel mogelijk dingen automatisch, maar eens in de zoveel tijd (zeg 2 á 3 keer per jaar) ga ik op internetbankieren even door alle gemachtigden en gooi ik alles eruit waar ik geen abonnement meer van heb of geen dienst meer van afneem.

Bij Rabo: Mijn overzicht > Zelf regelen > Betaal- en spaarrekening > Incassanten en machtigingen
Dit is een lap middel. Root-cause los je hier niet mee op met als gevolg dat de service kosten voor PayPal (komen) en/of credit card om hoog gaan.

Is ergens best wel schandalig dat je je eigen gegevens niet kan (laten) verwijderen. Echter als je je wachtwoorden niet op orde hebt dan schiet je er ook niets mee op. Hoeveel mensen slaan hun betaal gegevens op op hun PC??? Bottom line is dat gemak de mens uiteindelijk niet dient.
Root-cause los je hier niet mee op met als gevolg dat de service kosten voor PayPal (komen) en/of credit card om hoog gaan.
Er zullen altijd PayPal/credit card chargebacks zijn. Zolang die maatschappelijk betaald worden (als service kosten naar de betreffende betaalmaatschappij of als extra abonnementskosten richting een Netflix) valt de schade op individueel niveau mee.

Het is geen oplossing voor het gehele probleem, maar wel voor de individu. Dit is dan ook het enige dat je als individu kan doen, naast het gebruiken van willekeurige wachtwoorden via een wachtwoord manager, bijvoorbeeld.

[Reactie gewijzigd door The Zep Man op 29 november 2019 08:48]

Je kunt ook gewoon voordat je je account deactiveerd een nieuw wachtwoord instellen wat je nergens anders gebruikt.
Ik gebruik sowieso unieke wachtwoorden, en dat zou iedereen moeten doen.
Neemt niet weg dat dit erg slordig is van Netflix
Laten we wel realistisch zijn: de maximale schade zijn de maandelijkse kosten van Netflix. Zelfs als het een half jaar duurt is dat hooguit 6x15=90 euro.

En dan heb je zelf al een half jaar niet lopen opletten. Meer realistisch is dat je na een maand of twee a drie eens met de klantenservice contact opneemt. Zelfs als die niet coulant is, kun je de laatste transactie nog storneren. Ben je op zijn slechtst 30 euro kwijt.

Voor Netflix is de overweging het gebruiksgemak tegen veiligheid. Ik snap wel dat ze gezien de maximering van de schade op een paar tientjes, gebruiksgemak laten prevaleren.
Als je puur kijkt naar monetaire schade ja. Het is erg Nederlands om alles in termen van geld te bekijken :)

Maar er komt veel meer bij kijken. Gezeur met Netflix om te bewijzen dat je het zelf niet gedaan hebt. Gevoel van onveiligheid. Kans dat het weer gebeurt met alle gezeik vandien.

De aandacht van Netflix voor beveiliging is inderdaad een beetje zorgwekkend. Mijn moeder was haar wachtwoord kwijt en de helpdesk heeft het toen gereset naar iets heel triviaals, 12345 ofzoiets (weet het niet meer precies). En vervolgens niet gevraagd dit te veranderen, of afgedwongen bij de eerste inlog zoals meestal als je een paswoord reset doet.

Vanuit Netflix lekker makkelijk natuurlijk want het gaat hen er alleen maar om dat de klant kan kijken en dus blijft betalen. Hun eigen belang van 'zwartkijken' door onbevoegden staat kennelijk niet hoog op hun prioriteitenlijst. Maar de belangen van de klant: Privacy v.w.b. kijkgedrag en de betaalgegevens e.d., worden hier over het hoofd gezien.

[Reactie gewijzigd door GekkePrutser op 29 november 2019 12:55]

Wordt sowieso gedaan als of er iets heel ergs gebeurd. Maar in het ergste geval heeft een crimineel dus een maand netflix (10 euro) voor niks gekeken. De gebruiker waarbij dit gebeurd is dan wel een wijze les rijker. Namelijk zijn wachtwoord is algemeen bekend en hij moet zen wachtwoorden aanpassen.
Ik heb eens gratis Netflix gehad omdat iemand anders per ongeluk een email adres van mij had gebruikt bij het registreren. Volgens Netflix sturen ze geen bevestingsmail bij het registreren 8)7

Buiten dat wel zeer tevreden van Netflix.
Daar zit ook het punt in van dit artikel denk ik. Ze sturen geen bevestingsmail en is het kinderspel om dit te misbruiken. |:(
Bij activeren of heractiveren een bevestingsmail sturen. En dan moet je als crimineel al bij 2 accounts de login raden.
Ik had direct het wachtwoord veranderd omdat ik dacht dat er hackers aan het werk waren. Die personen konden dus al niet meer aan hun account aan (en het was het duurste abbo). Ik deed dit omdat ik dacht dat er hackers aan het werk waren.

Groot was mijn verbazing dus toen de helpdesk mij zei dat dit in feite een legit account was die het verkeerde email adres had ingetypt.
Bij activeren of heractiveren een bevestingsmail sturen. En dan moet je als crimineel al bij 2 accounts de login raden.
Niet als ook daar hetzelfde wachtwoord werd gebruikt.
Netflix heeft helaas nog geen 2 factor authentication.
Dit is het grootste probleem. Zoveel partijen die dat niet doen. Ook veel webshops met betalen op rekening of hoe ze dat overal willen noemen. Even inloggen, bestelling plaatsen die je zogenaamd later op een rekening gaat storten, vreemd adres erbij (wat ze waarschijnlijk ook maar ergens afhalen) en de winkel of gebruiker gaat er wel voor opdraaien. Een beetje barriere om dergelijke toestanden te voorkomen mag wel overal standaard zijn. Zeker nu tegenwoordig overal wel wachtwoorden van op straat komen te liggen.
Een beetje barriere om dergelijke toestanden te voorkomen mag wel overal standaard zijn. Zeker nu tegenwoordig overal wel wachtwoorden van op straat komen te liggen.
• Wachtwoord managers en willekeurige wachtwoorden.
• Een betaalmethode gebruiken met chargeback ondersteuning.

Multi-factor authenticatie is een middel dat kan helpen, maar het is zeker niet de enige oplossing.
Netflix is hierin veel te lax man. Iedere zichzelf respecterende dienst heeft tegenwoordig 2FA. De user is inderdaad een schakel, maar Netflix is er eigenlijk nog harder schuldig aan, omdat zij dit soort fraude makkelijk kunnen voorkomen door mails en 2fa in te voeren.
Ik zou persoonlijk 2FA juist onhandig vinden op een Netflix account, zeker als de eventuele schade nog geen 2 tientjes is.
ze kunnen de 2fa natuurlijk alleen vereisen voor account-wijzigingen e.d.
Dat hoeft dan niet direct voor 'standaard' inloggen
Hangt er vanaf hoe lang ze blijven kijken op je account. Als het een emailadres is geweest wat je niet meer gebruikt, dan kunnen de kosten hoog oplopen voordat je het wellicht ziet.
Want? Je moet 1x 2fa gebruiken. Het enige is dat het bij een family account wat moeilijker wordt.
2fa is handig maar is hiet niet het probleem.

Het probleem is:
Het is niet mogelijk om een individueel betaalmiddel te verwijderen uit een account, ook niet na deactivatie.
Als je na deactivatie het betaalmiddel verwijderd kan worden hetgeen volgens de avg wel zou moeten. Je mag immers eisen dat bepaalde gegevens verwijderd worden. Als betaalmiddel verwijderd kan worden lukt dit trucje gewoon niet meer.
• Wachtwoord managers en willekeurige wachtwoorden.
Ik ben dol op de chromecast, maar een ouderwetse afstandbediening gebruiken in plaats van een Smartphone (unlocken, juiste applicatie starten, kost allemaal teveel tijd) dus gebruik ik voor Netflix de ingebouwde ondersteuning van mijn televisieprovider. Nadeel is dat ik het wachtwoord met de afstandbediening in moet vullen. Het zou dan ook best kunnen dat Netflix een van de weinige accounts is waar ik geen sterk/gegenereerd wachtwoord gebruik.
Het ontgaat me wat hier nu echt nieuw aan is.

Als je bij Amazon inlogt, welke bij velen ook geen 2fa heeft, dan staan er ook creditcard gegevens opgeslagen voor direct afrekenen. Net zoals bij vele webshops.
Netflix is niet meer of minder dan de meeste grote andere sites.
Dat is dan je eigen keuze, Amazon vereist bij mij gewoon 2fa via the authenticator app.
Ik betaal voor zulke dingen altijd met men Prepaid Mastercard, laad ook nooit meer op dan wat ik moet betalen.
Zo dat is snel! Ik heb al twee jaar geleden via de chat gevraagd of 2FA mogelijk is. De medewerker leek niet te begrijpen waarom 2FA nodig is, laat staan wat het is. Zeer kwalijk, want bewijs maar dat jij geen abonnement hebt afgesloten.
Ik begrijp dit bericht niet helemaal. Criminelen kunnen alleen iets doen als ze iemands wachtwoord hebben gestolen. Dus iemand die een beetje zijn financiën bijhoudt zal dan merken dat er geld van je rekening wordt afgeschreven terwijl je zelf van mening was geen abbo op netflix te hebben. Nouja dan moet er al een lampje gaan branden.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Politiek en recht

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True