Netflix não exige confirmação do e-mail usado na criação de contas — e isso é problemático

Logo da Netflix com band-aid.

Não existe, ainda, sistema de segurança na Internet à prova de falhas. As empresas adotam boas práticas para mitigar os possíveis estragos, mas esses acontecem mesmo assim. Isso não significa, porém, que as técnicas padrões da indústria sejam dispensáveis — é o caso de “ruim com elas, pior sem”. A Netflix, maior serviço de streaming de filmes e séries do mundo, abdica de uma importante: o e-mail de ativação para contas recém-criadas.

O caso surgiu quando alguém próximo a mim recebeu um e-mail de boas-vindas da Netflix. Nada de outro mundo, não fosse um detalhe: ela não tinha criado uma conta na Netflix. A princípios ocorreu-lhe que talvez fosse uma tentativa de phishing, ou seja, um e-mail falso, criado à semelhança do que a Netflix de fato envia a novos clientes, com algum link pedindo informações pessoais que, cedidas, seriam usadas para fins questionáveis. Mas, feita a verificação, constatamos que não era o caso. O e-mail era mesmo da Netflix e, pior, a conta realmente existia.

A primeira atitude foi redefinir a senha, deixando a pessoa que criou essa conta do lado de fora. Também cancelamos as sessões de todos os dispositivos, uma opção legal dentro das configurações da Netflix. Em seguida, demos uma olhada nas informações que constavam ali. O cartão usado não era um da vítima, o que foi um alívio. Havia, ainda, dois perfis cadastrados na conta, um com o nome da pessoa dona do e-mail e outro um tal de “luis otavio” — que a vítima diz desconhecer.

Parecia o caso de um engano. Entramos em contato com o suporte da Netflix via chat e ali descobri algumas coisas meio preocupantes.

Por que o e-mail de ativação é importante

Minha primeira pergunta foi sobre a existência ou não de um sistema básico de ativação de contas por e-mail. A atendente respondeu que “ainda não existe essa opção, mas estamos a verificar essa possibilidade. Desde já, agradeço por reportar a situação :)”

Pedimos, então, para que a conta fosse cancelada. Como resposta, lemos que isso não era possível “porque as informações bancárias são do proprietário da conta”. O que não fazia sentido algum, já que, se era esse o problema, poderíamos acessar a conta e colocar informações bancárias da dona do e-mail. Ou de qualquer outra pessoa; como ela saberia de quem é?

Essa constatação surtiu efeito. A atendente disse que excluiria o e-mail do banco de dados, mas para isso seria preciso enviar um e-mail, em inglês, à equipe de privacidade da Netflix. Pareceu-nos muito esforço para sair de uma situação causada pelo que acreditamos ser uma falha do sistema de cadastro da Netflix. Após essa reclamação, recebemos o texto do e-mail pronto e o enviamos ao endereço indicado. Isso foi há dois dias; ainda estamos no aguardo do retorno.

Exemplo de confirmação de e-mail do Cast.
Exemplo de confirmação de e-mail.

A ausência de um e-mail de confirmação da conta implica uma série de problemas.

Primeiro, qualquer um pode, dessa forma, criar contas em nome de outras pessoas — basta ter o e-mail, um dado geralmente público. Trata-se de uma violação ter o e-mail inserido sem consentimento num sistema; além disso, abre-se brecha para situações graves. Alguém malicioso poderia, por exemplo, criar uma conta e usar dados de um cartão roubado, implicando um terceiro (dono do e-mail) em um crime. No mínimo, é irresponsável permitir a associação de alguém a um serviço sem a anuência e com o total desconhecimento dela.

Há também problemas potenciais para quem cria a conta. A ausência de um mecanismo de confirmação transforma erros de digitação bobos em fontes de dor de cabeça. A princípio pode ser que nada aconteça e, dependendo da agilidade do verdadeiro dono do e-mail informado, o criador da conta pode acabar usufruindo da conta por alguns dias. Mas isso até ele ser trancado para fora quando o dono do e-mail trocar a senha ou encerrar a conta — como fizemos, pois.

No mínimo, é negligência da Netflix permitir a inserção de e-mails em seu banco de dados sem qualquer verificação relacionada à propriedade. Provavelmente não seria o caso com esse serviço específico, mas imagine se a Ashley Madison, site de relacionamentos extraconjugais, não tivesse esse cuidado e permitisse a criação de novas contas com qualquer e-mail. Não é preciso nem aquele vazamento; um mero pedido de redefinição de senha já poderia ser a fonte de muito transtorno. Ou então o inferno que seria as caixas de entrada de quem tem endereços populares, como paulo@hotmail.com e afins, sendo cadastrado automaticamente em quaisquer serviços a que milhares de Paulos desavisados resolvessem aderir.

O Manual do Usuário pediu a Fabio Assolini, pesquisador de segurança da Kaspersky, que explicasse a importância do e-mail de ativação da conta:

O uso de um e-mail de confirmação é um padrão de segurança adotado por muitas plataformas online. O objetivo dele é impedir que alguma pessoa má intencionada use o endereço de e-mail para criar uma conta, sem seu consentimento, o que basicamente tira o seu direito de usar tal e-mail no serviço. Também é padrão utilizar o e-mail cadastrado para informes relacionados a segurança como tentativas excessivas de logins incorretos, obtenção de nova senha, etc.

Assolini lembrou que há um grande mercado paralelo no Brasil de logins da Netflix. E-mails e senhas legítimas são obtidos por ataques do tipo phishing, com e-mails fraudulentos pedindo a atualização de dados e até informações do cartão de crédito. A falta de um e-mail de confirmação no mínimo reforça o clima de insegurança acerca das comunicações oficiais da própria Netflix — o primeiro pensamento da pessoa vítima desta história foi de que se tratava de um e-mail fraudulento; não era.

Tela de configuração do telefone na conta da Netflix.

Uma opção aos clientes da Netflix seria cadastrar o número do celular em seus perfis. Ela até existe e inclusive pede um código de confirmação enviado por SMS no momento do cadastro do número. Mas para aí. A troca do número de telefone por outro dispensa a confirmação do primeiro por um código via SMS ou pelo e-mail, o que configuraria a autenticação em dois passos. Em vez disso, basta ter a senha da conta para trocar o número atrelado a ela. Em outras palavras, não se trata de um recurso de segurança, mas sim um de comodidade caso você se esqueça da senha.

O que diz a Netflix

Entramos em contato com a assessoria da Netflix no Brasil para questionar esse problema. A resposta segue abaixo, na íntegra:

Para criar uma conta na Netflix, a pessoa precisa colocar e-mail, nome e dados de pagamento. Não é possível contratar o serviço apenas com endereço de e-mail.

Todos os usuários cadastrados na Netflix recebem um e-mail de confirmação. Se alguém receber esse e-mail e não tiver criado uma conta, basta reportar isso na plataforma ou no 0800 da Netflix e o serviço será cancelado imediatamente.

O problema, que a nós é bem óbvio, é que não existe mecanismo algum nesse sistema que confirme a propriedade dos três dados exigidos. Como explicado acima, ao pedir o cancelamento da conta à atendente, ela negou alegando que não poderia fazer porque os dados de pagamento pertenciam a outra pessoa. Dissemos “ok, vamos entrar na conta e colocar outros dados. Aí o cancelamento acontece?” Ela nos pediu um momento e procedeu com a solicitação inicial a fim de cancelar a conta — sem qualquer alteração nos dados bancários de sabe-se lá quem.

É um detalhe mínimo. Justamente por isso, não deveria estar em pauta ou estar presente num serviço tão grande como a Netflix. A justificativa, uma suposta comodidade ao usuário, esbarra no eterno dilema de conciliar comodidade com segurança. Nesse caso, porém, parece-nos uma escolha muito fácil: Netflix, ative a confirmação de contas por e-mail ou SMS pelo bem dos seus clientes.

Acompanhe

Newsletter (toda sexta, grátis):

  • Mastodon
  • Telegram
  • Twitter
  • Feed RSS

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

38 comentários

  1. Eu passei por algo semelhante,

    Um garoto como mesmo sobrenome que o meu utilizou de um email (eu registrei meu sobrenome) pra fazer uma conta do Facebook.

    Por diversas vezes tentei contato com o Facebook e por fim com o menino mas nunca surtiu nenhum efeito.

    O que achei de solução foi criar um filtro pro email dele e excluir as mensagens.

    Mas é bizarro esse tipo de situação.

  2. Uma coisa a se pensar: isso ocorre mais com quem foi “primeirão” nos serviços e tem e-mails mais “curtos” ou realmente a possibilidade de pegarem um principenerdsaradão1989@hotmail.com é alta?

    1. Meu email não é tão comum e semana passada criaram uma conta no instagram com ele. Tudo culpa do Gmail e a forma como ele lida com “.” no endereço.

  3. Será que o Netflix é conivente com essa situação? Afinal, são números de usuários/acessos a mais, dinheiro entrando…

    1. Eu acredito que não.
      Para criação da conta, mesmo que de forma trial, é necessário a inserção de um cartão de crédito verídico.
      Pelo que eu entendi, os criminosos estão usando e-mails e cartões de terceiro (não necessariamente da mesma pessoa) para se cadastrarem no serviço.
      Ao fim do período trial (salvo engano, 30 dias), supondo que o proprietário do e-mail não perceba o uso de sua conta, o proprietário do cartão de crédito recebe a cobrança referente ao serviço em sua fatura, e a contesta, geralmente obtendo o estorno do valor e o imediato cancelamento do serviço.

      A conta então criada com e-mail de terceiro deixa de funcionar, exigindo novamente um novo cartão.
      Se o proprietário do e-mail não perceber a utilização de sua conta para esses fins, provavelmente o criminoso utilizará o número de outro cartão de crédito na mesma conta.
      Caso perceba e bloqueie o acesso, redefinindo a senha e trancando o criminoso para o lado de fora, este utilizará o e-mail de outra pessoa, já que é um dado público e simples de encontrar, e então, cadastrará outro cartão de crédito, geralmente obtido de forma ilícita.
      Dessa forma, o que enxergo é prejuízo para a Netflix, que arca com a disponibilidade do serviço, sem ter dinheiro entrando em seu caixa — afinal, quem custeia o serviço são os usuários pagantes.
      Há também, claro, a dor de cabeça para as vítimas, proprietárias do e-mail e do cartão de crédito — foco da matéria.

      O sistema de verificação de e-mail pode ser mais uma barreira, mas ao meu ver, não impedirá que a prática do uso de cartão de crédito alheio (o real problema) continue. Afinal, o criminoso (porque está incurso no Artigo 171, do Código Penal) pode muito bem criar um e-mail aleatório em qualquer serviço e utilizar o número do cartão de crédito de terceiro…

      Duas soluções que protegerão o usuário e eliminarão o problema da comercialização de números de cartão de crédito:
      1. Online:
      – Inserção do número do cartão somente em sites verificados e seguros.
      – Utilização de um sistema seguro, *atualizado* e livre de vírus/malwares.
      Dessa maneira, o usuário não terá seus dados capturados por um programa mal intencionado.
      Outra recomendação mais “avançada” (não para os leitores do Manual do Usuário, acredito) é a utilização de uma máquina virtual para utilização de cartões online. Dessa forma, isola-se o sistema operacional de uso genérico daquele que será utilizado para transações bancárias/compras. Tenho essa prática já há alguns anos.

      2. Física:
      – Ocultação do número CVV do cartão mediante aplicação de um pedaço de fita adesiva (conforme fiz no meu — imagem em anexo. Repare na fita isolante sobre o CVV). É uma recomendação válida pois já ouvi relatos de atendentes de estabelecimentos comerciais que, ao receber o cartão da mão do cliente para passa-lo na “maquininha” de cartão, conseguem fotografa-lo com uma câmera oculta, geralmente por baixo da bancada do atendimento. E como sabemos, a partir do momento que alguém detém essa informação (número do cartão, validade e CVV), é possível realizar qualquer compra online, desde que restrita ao limite do cartão. [1]
      Tenho o hábito de deixar o CVV anotado no 1Password, para caso eu esqueça, além de no meu cofre particular.
      – Não compartilhamento do cartão com pessoas, sejam elas quem forme (inclusive parentes).
      – O cuidado com ATMs, já que há relatos de “frentes falsas”, que clonam cartões. [2]

      Creio que essas medidas são eficazes no que diz respeito ao comércio de número de cartões de crédito, e suficientes para impedir problemas como esses.
      É claro que a simples implementação de um sistema de verificação de e-mails já ajuda no controle de uso de contas, mas não *resolve* a questão, já que cada um pode criar uma conta qualquer em serviços gratuitos.

      Por fim, uma medida que deveria ser padrão: envio de e-mails à vários destinatários somente através do modo CCO.
      Dessa forma, evitamos aquela lista gigante de e-mails, que podem vazar e cair em mãos de criminosos.

      -RPB.

      [1]: Há quem adote uma postura mais drástica, preferindo ocultar todo o cartão, conforme mostra esse YouTuber:
      https://www.youtube.com/watch?v=MyQB6TBUZ14

      [2]: Frentes falsas em ATM:
      https://www.youtube.com/watch?v=GrjVQVdbRC4

  4. Ghedin,

    Quer ver algo pior: 3 anos atrás eu tive uma briga enorme com o Santander. Começou a ser debitado mensalmente na minha conta o valor de R$ 50,00.

    Após muita briga, fui informado que quem estava enviando os débitos era um serviço curriculos de uma subsidiária do UOL.

    Para resumir uma novela gigante, o UOL tem um convênio de débito em conta-corrente com vários bancos onde o cliente contratante do serviço informa um número de conta-corrente para ser debitado e o UOL envia os valores para ser debitados pelo banco.

    Acontece que no caso do Santander, eles não verificam se o nome e o CPF do contratante são os mesmos da conta a ser debitada. Basta ela existir para realizarem o débito.

    No meu caso, nem foi má fé da pessoa que comprou o serviço do UOL. Ela tinha o mesmo número de conta que a minha, apenas a agência dela era diferente (ela havia invertido um dígito).

    Qual é o problema nesse caso? se eu for em uma ATM e pegar na lixeira os extratos que os clientes jogam fora, terei uma base de contas válidas enorme. Com isso posso assinar todos os serviços do UOL e levará meses até que consigam estornar. E quando isso ocorrer, bastaria usar outro número de conta…

  5. Eu fiquei com uma dúvida: já que vocês tinham o acesso à conta (redefiniram senha e tudo), não tinha como cancelar a conta por lá mesmo, no acesso do usuário?

    Supondo que fosse uma conta própria de vocês, e não um engano, o usuário não tem como cancelar quando quiser?

    1. O usuário pode, mas isso não apaga a conta de imediato. Na tela de cancelamento, o sistema avisa que a conta permanece no banco de dados por 10 meses, caso a pessoa se arrependa e decida voltar a ser assinante. Não queríamos isso.

      No fim, a solução que nos foi dada ainda é insatisfatória, já que, caso a pessoa queira criar (ela mesma, no caso, e não um terceiro) uma conta na Netflix futuramente, terá que falar com o suporte antes devido a esse episódio.

      1. Rodrigo, eu passei por isso há 2 meses. Recebi em um dos meus e-mails a confirmação de cadastro. Estranhei, mas não fiz nada de imediato. Depois começaram a chegar e-mails de marketing da Netflix, indicando programas. Entrei em contato com o SAC da Netflix, informei o ocorrido e eles excluíram a conta que havia sido criada com meu e-mail.

  6. A uns dois anos atrás alguém abriu um conta no Facebook também com um e-mail meu, e também do outlook como em alguns casos já citados aqui…

    Na época troquei a senha e depois “cancelei” a conta do cidadão no Facebook.

  7. Já aconteceu comigo: Alguém criou uma conta com meu email num app de pegação gay (!). Na hora eu pensei que fosse algum amigo pregando uma peça, então fiz a coisa mais sensata e resetei a senha para tirar a conta do engraçadinho, aí quando eu entrei na conta, descobri que ela pertencia a um outro Danillo e ele era bem, hm… ativo… no app.

    No fim, acabei me sentindo mal por empatar as fodas do meu xará e entrei em contato com a equipe do app para ver se eles podiam devolver a conta para o dono, mas acho que no fim não conseguiram, pois o único meio de contato que eles tinham dele era meu email.

  8. Existe uma pessoa que tem o nome de conta do e-mail exatamente igual ao meu, mas o dele é do “mail.com” e o meu é gmail. Aí perceberam a confusão, muitas vezes recebo e-mails direcionados a ele com informações sensíveis (ele é advogado), hoje mesmo recebi um extrato do ViaFácil, com dados importantes (CPF, Endereço físico, placa do veículo etc.)

    E dia desses recebi e-mail de uma conta do netflix criada.

  9. Muitos hoje tem preguiça de criar um email e ter que lembrar senhas.
    As pessoas estão tão preguiçosas hoje em dia que nem criar um cadastro querem mais, Já cansei de ouvir de gente que diz que prefere o WhatsApp ao Skype, pq o Skype tem que fazer cadastro, email, etc…
    Ai na hora de entrar em algum serviço como Netflix, inventam qualquer email e colocam.
    Eu que tenho um fácil com só meu primeiro nome que sofro :(
    Recebo cadastro de todo tipo de coisa. Se eu quisesse ser um Spammer eu já teriam na minha posse mais de cem contas do Gmail :P

    1. E a prática de registro em serviço com e-mails de amigos/familiares?
      Já vi gente que se registrou em serviços como Facebook, Skype, Spotify utilizando-se de e-mail do amigo, irmão, mãe, etc.
      Aí na hora de recuperação de senha, não consegue e culpa o serviço! :-P

  10. Uma vez criaram um Facebook com meu email mais recente do Outlook (meu FB foi criado com meu antigo alias do Hotmail). Eu tomei posse da conta e desativei, só que agora gostaria de mudar meu email cadastrado no facebook com meu email principal e não posso mais, pois o facebook diz que já tem um usuário cadastrado com esse email. Fazer o quê. :/

    1. Já tentou reativar a conta (sim, não dá pra apagar uma conta em definitivo no FB, quando você cancela ela fica inativa e pode ser reativada)? Aí você adiciona um outro email aleatório e apaga o outro, o liberando para usar na sua conta de verdade.

  11. Isso aconteceu comigo, odeio o Facebook, mas um idiota criou por duas vezes e com dois emails meus uma conta lá, os meus emails é basicamente o meu nome e um sobrenome. Uma vez ou outra ele tenta reativar a conta e eu tenho que excluir outra vez… já pensei em até processar o Facebook pelo aborrecimento gerado pela falta de autenticação deles…

    1. Isso é preocupante, imagina alguém do trabalho que queira me prejudicar, é só criar uma conta com o meu email e fazer coisas que não faria (racismo etc) durante o meu expediente e usando uma maquina daqui e assim o Facebook teria o IP de onde trabalho e no horário que estava aqui! Merda pronta para estragar a vida de um pessoa de bem!

  12. Achei esquisito na época também não ter um e-mail de confirmação para comprovar que aquele e-mail inserido é “verdadeiro”.

    Seria melhor criar a conta e receber o e-mail de confirmação e depois disso entrar na conta e colocar os dados de pagamento e preencher e configurar o restante da conta.

    Falta a autenticação em 2 etapas pelo Celular/SMS ou também faz que nem a steam que tem um aplicativo que fornece os códigos de segurança..sem eles não pode logar na conta, se ativado.Também pode ser que nem o do Google que confirma a conta/dispositivo e depois é só marcar como confiável e não precisa mais fornecer o código, só se mudar de PC.

  13. Já aconteceu comigo também. Aliás desde que consegui um email mais curto do Yahoo e do Outlook isso aconteceu bastante.
    Na maioria das vezes são cadastros em sistemas menores, mas já apareceu Netflix e Facebook aqui também.

    1. Meu email do Outlook tbm foi usado por outra pessoa para criar um perfil no Facebook. Até tentei assumir o controle do perfil, mas esbarro na data de aniversário do outro Rafael.

  14. Lembro quando criaram uma conta na LevelUp games com o um email antigo meu (da época de msn, onde eu era uma criança que adorava usar nickname colorido. Inclusive, obrigado MSN Plus!). Achei que tinham hackeado o meu email e esse achismo foi reforçado por um contato que fiz com o suporte do hotmail, na qual eles me deram a certeza de que tinha sido(!) por isso e abandonei o meu email da época (que uma hora teria que abandonar mesmo, já que vocês devem saber como é email de msn haha)

    Uma coisa que me chamou atenção na época é que no email havia a senha da conta e, logando, consegui ver toda uma gama de informações sensíveis do outro Rafael Gino, como endereço, telefone. É chocante pensar no que isso poderia dar se caísse em mãos erradas e pior que isso, chocante mesmo é pensar que ainda tem serviços que não usem essas confirmações de email. Não há nenhum sentido, a não ser inflar o numero de usuários, mas acho que a netflix não precisa disso. Ou precisa?

  15. Já criaram conta com meu e-mail na Avianca, sendo que nunca voei pela empresa. Entrei e alterei a senha.

    Tentativas, então, já perdi a conta: Facebook, Twitter, Gmail, etc. Difícil passar um mês sem algum desses. Sempre uso a opção de cancelar no e-mail de confirmação.

  16. Coincidência ou não, hoje também criaram uma conta utilizando um e-mail meu antigo lá no netflix. Vou simplesmente ignorá-lo.

  17. Facebook não pede confirmação, Google (com email de recuperação) tb não pede tal confirmação, Skype não pede, Spotify não pede, peixe urbano, groupon … entre tantos outros não pedem… eu sofro sempre que abro meu email @outlook.com tem uma dezena de outros thales no Brasil que se acham donos dele

    1. Certeza que Facebook não pede? (Faz uns dez anos que fiz minha conta lá.) Pesquisei aqui e diz que pede sim: https://www.facebook.com/help/174210495970197

      Spotify, pelo fórum de suporte, parece pedir também: https://community.spotify.com/t5/Help-Accounts-and-Subscriptions/Confirmation-email-never-sent-Can-t-log-in-can-t-find-re-send/td-p/918327

      Skype pede: https://support.skype.com/en/faq/FA96/how-do-i-change-my-registered-email-address-or-add-another-email-address-to-my-profile?q=confirmation+mail

      Groupon exige (ou exigia): https://productforums.google.com/forum/#!topic/gmail/T6e4l1qHo74

      Google não faz sentido exigir e-mail de confirmação pois é um serviço de… e-mail.

      Edit: alguns serviços liberam o uso, mas limitam recursos e/ou o tempo de uso até que o e-mail seja confirmado. Na Netflix, é totalmente dispensável.

      1. Há uns 10 dias entrei nesse meu email e tinha lá umas compras feitas no groupon e no peixe urbano que não me pertenciam (mesma pessoa), no spotify uma conta no meu email não confirmada, mas a conta tava lá, o Google deveria confirmar se seu email de recuperação é seu mesmo, o Facebook até hoje tá com a conta suspensa e não posso usar o email no facebook, não consegui apagar a conta pq exigia mais dados, o Skype tem tempo, não lembro mas apaguei 2 contas de pessoas diferentes no meu email, sei que fiz uma limpa trocando senhas pra algo que eu nunca vou lembrar e deslogando dispositivos quando não consigo cancelar as contas

      2. Eu não tenho certeza se pedem confirmação, mas algo curioso é que tenho um app rodando com autenticação com o Facebook onde pego os dados básicos e públicos (nome, email e facebook id).

        Pra alguns usuários vem todas as informações, mas pra outros vem sem a informação do email.

        Achei inicialmente que poderia ser o fato das pessoas estarem desabilitando o envio dessa informação.

        Conversando com alguns amigos descobri que poderia ser isso, mas pelo tipo de público do app provavelmente era que as pessoas não haviam validado seus emails e por isso o Facebook não fornecia a informação.

    2. O Google envia sim uma mensagem com um link de confirmação para o e-mail de recuperação informado. Só depois de clicar neste link é que esta conta de recuperação é associada ao e-mail.

      1. Concordo. Recebo periodicamente emails solicitando a ligação a minha conta, de emails alternativos ao meu. Aparentemente, a pessoa queria meu email, mas ao ver que já está em uso, cria outro parecido e coloca o meu como email de recuperação. Aí “vai o cão arrependido” clicar no “não, este endereço não é meu, desconectar”.

Do NOT follow this link or you will be banned from the site!