Logo da Netflix com band-aid.

Netflix não exige confirmação do e-mail usado na criação de contas — e isso é problemático


5/7/16 às 20h50

Não existe, ainda, sistema de segurança na Internet à prova de falhas. As empresas adotam boas práticas para mitigar os possíveis estragos, mas esses acontecem mesmo assim. Isso não significa, porém, que as técnicas padrões da indústria sejam dispensáveis — é o caso de “ruim com elas, pior sem”. A Netflix, maior serviço de streaming de filmes e séries do mundo, abdica de uma importante: o e-mail de ativação para contas recém-criadas.

O caso surgiu quando alguém próximo a mim recebeu um e-mail de boas-vindas da Netflix. Nada de outro mundo, não fosse um detalhe: ela não tinha criado uma conta na Netflix. A princípios ocorreu-lhe que talvez fosse uma tentativa de phishing, ou seja, um e-mail falso, criado à semelhança do que a Netflix de fato envia a novos clientes, com algum link pedindo informações pessoais que, cedidas, seriam usadas para fins questionáveis. Mas, feita a verificação, constatamos que não era o caso. O e-mail era mesmo da Netflix e, pior, a conta realmente existia.

A primeira atitude foi redefinir a senha, deixando a pessoa que criou essa conta do lado de fora. Também cancelamos as sessões de todos os dispositivos, uma opção legal dentro das configurações da Netflix. Em seguida, demos uma olhada nas informações que constavam ali. O cartão usado não era um da vítima, o que foi um alívio. Havia, ainda, dois perfis cadastrados na conta, um com o nome da pessoa dona do e-mail e outro um tal de “luis otavio” — que a vítima diz desconhecer.

Parecia o caso de um engano. Entramos em contato com o suporte da Netflix via chat e ali descobri algumas coisas meio preocupantes.

Por que o e-mail de ativação é importante

Minha primeira pergunta foi sobre a existência ou não de um sistema básico de ativação de contas por e-mail. A atendente respondeu que “ainda não existe essa opção, mas estamos a verificar essa possibilidade. Desde já, agradeço por reportar a situação :)”

Pedimos, então, para que a conta fosse cancelada. Como resposta, lemos que isso não era possível “porque as informações bancárias são do proprietário da conta”. O que não fazia sentido algum, já que, se era esse o problema, poderíamos acessar a conta e colocar informações bancárias da dona do e-mail. Ou de qualquer outra pessoa; como ela saberia de quem é?

Essa constatação surtiu efeito. A atendente disse que excluiria o e-mail do banco de dados, mas para isso seria preciso enviar um e-mail, em inglês, à equipe de privacidade da Netflix. Pareceu-nos muito esforço para sair de uma situação causada pelo que acreditamos ser uma falha do sistema de cadastro da Netflix. Após essa reclamação, recebemos o texto do e-mail pronto e o enviamos ao endereço indicado. Isso foi há dois dias; ainda estamos no aguardo do retorno.

Exemplo de confirmação de e-mail do Cast.
Exemplo de confirmação de e-mail.

A ausência de um e-mail de confirmação da conta implica uma série de problemas.

Primeiro, qualquer um pode, dessa forma, criar contas em nome de outras pessoas — basta ter o e-mail, um dado geralmente público. Trata-se de uma violação ter o e-mail inserido sem consentimento num sistema; além disso, abre-se brecha para situações graves. Alguém malicioso poderia, por exemplo, criar uma conta e usar dados de um cartão roubado, implicando um terceiro (dono do e-mail) em um crime. No mínimo, é irresponsável permitir a associação de alguém a um serviço sem a anuência e com o total desconhecimento dela.

Há também problemas potenciais para quem cria a conta. A ausência de um mecanismo de confirmação transforma erros de digitação bobos em fontes de dor de cabeça. A princípio pode ser que nada aconteça e, dependendo da agilidade do verdadeiro dono do e-mail informado, o criador da conta pode acabar usufruindo da conta por alguns dias. Mas isso até ele ser trancado para fora quando o dono do e-mail trocar a senha ou encerrar a conta — como fizemos, pois.

No mínimo, é negligência da Netflix permitir a inserção de e-mails em seu banco de dados sem qualquer verificação relacionada à propriedade. Provavelmente não seria o caso com esse serviço específico, mas imagine se a Ashley Madison, site de relacionamentos extraconjugais, não tivesse esse cuidado e permitisse a criação de novas contas com qualquer e-mail. Não é preciso nem aquele vazamento; um mero pedido de redefinição de senha já poderia ser a fonte de muito transtorno. Ou então o inferno que seria as caixas de entrada de quem tem endereços populares, como paulo@hotmail.com e afins, sendo cadastrado automaticamente em quaisquer serviços a que milhares de Paulos desavisados resolvessem aderir.

O Manual do Usuário pediu a Fabio Assolini, pesquisador de segurança da Kaspersky, que explicasse a importância do e-mail de ativação da conta:

O uso de um e-mail de confirmação é um padrão de segurança adotado por muitas plataformas online. O objetivo dele é impedir que alguma pessoa má intencionada use o endereço de e-mail para criar uma conta, sem seu consentimento, o que basicamente tira o seu direito de usar tal e-mail no serviço. Também é padrão utilizar o e-mail cadastrado para informes relacionados a segurança como tentativas excessivas de logins incorretos, obtenção de nova senha, etc.

Assolini lembrou que há um grande mercado paralelo no Brasil de logins da Netflix. E-mails e senhas legítimas são obtidos por ataques do tipo phishing, com e-mails fraudulentos pedindo a atualização de dados e até informações do cartão de crédito. A falta de um e-mail de confirmação no mínimo reforça o clima de insegurança acerca das comunicações oficiais da própria Netflix — o primeiro pensamento da pessoa vítima desta história foi de que se tratava de um e-mail fraudulento; não era.

Tela de configuração do telefone na conta da Netflix.

Uma opção aos clientes da Netflix seria cadastrar o número do celular em seus perfis. Ela até existe e inclusive pede um código de confirmação enviado por SMS no momento do cadastro do número. Mas para aí. A troca do número de telefone por outro dispensa a confirmação do primeiro por um código via SMS ou pelo e-mail, o que configuraria a autenticação em dois passos. Em vez disso, basta ter a senha da conta para trocar o número atrelado a ela. Em outras palavras, não se trata de um recurso de segurança, mas sim um de comodidade caso você se esqueça da senha.

O que diz a Netflix

Entramos em contato com a assessoria da Netflix no Brasil para questionar esse problema. A resposta segue abaixo, na íntegra:

Para criar uma conta na Netflix, a pessoa precisa colocar e-mail, nome e dados de pagamento. Não é possível contratar o serviço apenas com endereço de e-mail.

Todos os usuários cadastrados na Netflix recebem um e-mail de confirmação. Se alguém receber esse e-mail e não tiver criado uma conta, basta reportar isso na plataforma ou no 0800 da Netflix e o serviço será cancelado imediatamente.

O problema, que a nós é bem óbvio, é que não existe mecanismo algum nesse sistema que confirme a propriedade dos três dados exigidos. Como explicado acima, ao pedir o cancelamento da conta à atendente, ela negou alegando que não poderia fazer porque os dados de pagamento pertenciam a outra pessoa. Dissemos “ok, vamos entrar na conta e colocar outros dados. Aí o cancelamento acontece?” Ela nos pediu um momento e procedeu com a solicitação inicial a fim de cancelar a conta — sem qualquer alteração nos dados bancários de sabe-se lá quem.

É um detalhe mínimo. Justamente por isso, não deveria estar em pauta ou estar presente num serviço tão grande como a Netflix. A justificativa, uma suposta comodidade ao usuário, esbarra no eterno dilema de conciliar comodidade com segurança. Nesse caso, porém, parece-nos uma escolha muito fácil: Netflix, ative a confirmação de contas por e-mail ou SMS pelo bem dos seus clientes.

Assine o Manual do Usuário

Ao acessar este blog, você não é rastreado ou monitorado por empresas como Google, Facebook e outras de publicidade digital. A sua privacidade é preservada. O Manual do Usuário tenta viabilizar-se por métodos alternativos e éticos. O principal é o financiamento coletivo. Colabore — custa a partir de R$ 9 por mês:

Assine no Catarse