Otra vez sopa… No al autologin!

por | 08/11/2019

Hace 4 años escribía en este mismo blog un post llamado «Inseguridad en los correos de ML» donde comentaba que me había llegado un correo con un link el cual tenia un token que me auto logueaba (inicio automático de sesión de usuario) al sitio. Ya en ese entonces me sorprendía que una empresa de tal envergadura cometa tal error de seguridad (en el post explico bien porque es un riesgo).

Los años pasaron y en 2019 la empresa Netflix me enviá un correo electrónico para informarme que van a hacer un cambio en los planes y que va a subir el precio, algo lógico para el economía inflacionaria que vivimos en la Argentina.

Como uno de esos pocos seres en el mundo, me pongo a lee el correo y me encuentro con un link en las palabras «cambiar de plan», de curioso hago click y me encuentro en una pagina para seleccionar alguna de las opciones de planes, cosa que me extraña ya que para poder cambiar el plan sería lógico que este en mi cuenta, así que miro la parte superior derecha de la pantalla y noto que mi usuario estaba logueado. Obviamente, lo primero que pensé fue que me había dejado la cuenta logueada en otro momento (cosa rara, pero podría pasar), así que procedo a cerrar la sesión, cerrar el navegador y volver a hacer click en el link nuevamente, para mi sorpresa se vuelve a abrir el sitio con mi cuenta !!! Ante mi asombro, vuelvo a realizar el procedimiento antes mencionado, verificando que no hayan quedado cookies o sesiones guardadas, y nuevamente el mismo resultado. Así que les escribo por TW a @NetflixLAT:

Unas 13hs posterior a informarlo, volví a probar el link y no funciono, así que parece que arreglaron el «problemita».

La url/link/dirección en cuestión estaba formada así:

https://www.netflix.com/ChangePlan?nftoken=[TOKEN]&lnktr=kEMP&g=[HASH_EXA]&lkid=URL_CHANGE_PLAN

Token: 233 caracteres
Hash: 41 caracteres en exadecimal

A tener cuidado, y cuando encuentren cosas por el estilo, reportenlas a las empresas, no solo sus datos podrían quedar expuestos sino que el de millones de usuarios.

Los e-mails se transmiten sin cifrado por internet y a veces por facilitarle la tarea al usuario (de no iniciar sesión) pueden poner en riesgo nuestras cuentas (si quieren más detalles técnicos les recomiendo que lean el post de ML ).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.