Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Criminelen kunnen Netflix-account heractiveren door gebrek aan beveiliging

Criminelen hebben Netflix-accounts die niet meer actief waren opnieuw geactiveerd zonder daarbij te weten met welke gegevens gebruikers betalen. Dat komt omdat Netflix-accounts niet te beveiligen zijn met tweetrapsauthenticatie en Netflix geen bevestiging stuurt van heractivatie.

Betaalgegevens opnieuw invoeren is niet nodig, doordat Netflix de betaalgegevens van gebruikers tien maanden lang bewaart, meldt BBC. Vervolgens hoeven gebruikers bij het heractiveren van het account niet opnieuw betaalgegevens in te vullen om een betaald abonnement af te sluiten. De BBC haalt enkele voorbeelden aan waarbij criminelen hier misbruik van maakten.

De functie is bedoeld om het makkelijk te maken opnieuw betalende klant te worden, maar heeft volgens de BBC als bijwerking dat gebruikers van wie het wachtwoord is gestolen, ineens betalen voor een abonnement dat ze niet zelf hebben afgesloten. Het stelen van het wachtwoord kan via datalekken, waarna criminelen proberen of het Netflix-wachtwoord hetzelfde is als die gebruikers bij andere diensten gebruiken. Zij kunnen geld verdienen aan die praktijk door de toegang tot het account te verkopen.

Netflix had deze manier van fraude kunnen voorkomen door het invoeren van tweetrapsauthenticatie voor accounts en door het sturen van een bevestigingsmail als gebruikers opnieuw een abonnement aanvragen. Beide is momenteel niet mogelijk bij de streamingdienst.

Het is onbekend hoeveel mensen slachtoffer zijn van deze manier van fraude. Netflix geeft geen cijfers en BBC heeft alleen anekdotes van slachtoffers. Netflix gaf in ten minste één geval niet al het geld terug aan een voormalige klant na ontdekking van de fraude. Het is niet mogelijk om een individueel betaalmiddel te verwijderen uit een account, ook niet na deactivatie.

Door Arnoud Wokke

Redacteur mobile

29-11-2019 • 08:06

69 Linkedin Google+

Reacties (69)

Wijzig sortering
Das lekker logisch als je account gehackt is... dan kan men gewoon bij via de site. 8)7 zou gewoon zo moeten zijn dat je betaalwijze nadien niet zichtbaar is, wel te wijzigen naar wens en bij heractiveringen dus gewoon ook opnieuw 1 cent iDeal betaling laten doen... probleem opgelost. Soms is beetje werk voor de klant ook ter bescherming van diezelfde klant. Zeker als je 10 maanden mijn gegevens bewaard inclusief de machtiging bij de bank.
Het is heel erg "hot" op dit moment met alle services en diensten.
Toevallig dat ik afgelopen week dit euvel had met paypal. Ongeauthoriseerd gedrag en effecten ivm bestellingen die via mijn rekening liepen. Het enigste waar ik van baalde is dat ik die limieten niet handmatig in kan stellen, zodat in gevallen zoals dit mijn schade beperkt blijft en ook altijd blijft, maar goed dat ter zijde. ID & laatste cijfers van de IBAN doorgeven en alles wordt teruggedraaid als ze zien dat iemand in Shen Zeng inlogd en ik binnen het uur hier in Nederland is het ook appeltje eitje.

Het zou inderdaad een verplichting moeten zijn op het moment dat je dus een abbonement her-activeerd een nieuwe entry van IBAN of andere betaalgegevens doorgeeft, dit is ook de reden van creditcardmaatschappijen om zo doende fraude tegen te gaan en zo snel mogelijk een nieuwe pas + pasnr en CSV code mee te geven, zoniet een nieuwe IBAN ook bij banken is dat zo. En dan nog te beseffen dat je ten aller tijden sowieso nieuwe bankgegevens kunt toe eigenen met de komst van het "nieuwe" bankenstelsel en sowieso ben je vrij om je bank te kiezen of van welke bankrekening je betaald toch? Ook bij her-activatie?

[Reactie gewijzigd door Raan7 op 1 december 2019 03:25]

Hun eigen betaalmiddel dan weer wel icm de "gemaakte/gedane" transacties.

Los gezien daarvan der wordt gesproken over 7 jaar bewaarplicht... is dit niet 5 jaar na data?
Nee de 7 jaar slaat specifiek op de administratie die je moet bewaren voor de belastingdienst hier in Nederland.
Ik denk dat ze naar het feit toe willen dat accounts verhandelen met streaming en game (entertainment) diensten eraan vast een "Goede business' is voor criminelen. En geef ze eens ongelijk?

Iedereen loopt maar overal zijn gratis hotmail en google email in te vullen alsof ze daar elke week een nieuwe ervoor aanmaken. Als de locker gewist is stappen ze bij het minst geringste over op een nieuw emailadres en pasen die door naar jan en alleman. Totdat je in het gok circuit terecht komt en dan snap je 123 niet zo zeer meer wat er allemaal gebeurd en wat nu wel en niet kan, met het aanmaken van accounts.
Geen van deze drie feiten is echt nieuws. De combinatie is een leuk onderwerp voor een achtergrondartikel, maar in mijn ogen ook niet echt nieuws.
Dan is er op TV helemaal geen nieuws en neem je elk argument voor een illegaal vergrijp aan als vanzelfsprekend.

Ik kan wel lachen om die ene individueel die machteloos zijn geld ziet verdwijnen en dat Netflix weigerd zijn geld terug te geven, waarschijnlijk omdat die nieuwsgierig is geweest en heeft ingelogd om te kijken of de service/product nog werkte en toen heeft die pas zijn gegevens ingezien van zijn abbonement/subscriptie. Tja, verschijn dan maar eens voor de rechter!

[Reactie gewijzigd door Raan7 op 1 december 2019 03:39]

Zware stemmingsmakerij inderdaad, de titel had evengoed kunnen zijn dat Netflix hun beveiliging totaal niet op orde heeft ten nadele van de klant.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Politiek en recht

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True