şükela:  tümü | bugün
  • açık kategorisinde değerlendirilemeyecek, güvenlikle ilgili bir eksiklik.

    ücretli içerik sağlayan tüm sistemler entry'de bahsi geçen özelliğe sahip olmalıdır. bugün bir çok büyük firma bu şekilde çalışıyor. normalde çok sık bulunmadığınız - ya da ilk defa bulunduğunuz - lokasyonlardan giriş yapmaya çalıştığınızda hesabınızı, siz onay vermediğiniz sürece askıda tutan sağlayıcılar mevcut; ki olması gereken de budur.

    edit: cümle düşüklüğü düzeltmeceler
  • haklı bir tespit, bu en düşük güvenlik sistemi. bunun bir üstü yani şifrenizi bilse bile mutlaka güvenli mail olarak sizden her değişikliği onaylamanız istenmeli, böylece sadece netflix şifreniz birinin eline geçer ise (veya siz vermiş olabilirsiniz) sistemdeki üyelik seçeneği, ödeme veya temel mail adresi gibi şeyleri değiştiremez. çünkü aynı anda e-mail şifrenizi de ele geçirmiş olması gerekir.
  • aylık ödemeli bir sistemde açık olarak nitelendirilemeyecek durum.

    (bkz: amerikan başkanı dahil herkesi devreye sokun)

    edit: espri eklendi.
  • haklı bir tespittir.
  • anahtariniza sahip olan evinize de girebilir, eşyalar yer de değiştirebilir minvalindeki açık.
  • account'a bağlı mail'i değiştirebilmek önemlidir aslında, bugün netflix accountunuz hacklendiğinde mail account'unuz da hacklenebilir (daha zor evet ama yapılamaz değil). netflix account'u kurtarıp bir başka mail'a geçirmek isteyebilirsiniz. account'u bir başkasına devretmek de isteyebilirsiniz, ya da soyadınız değişmiştir, şirketiniz değişmiştir şirket mail'i ile aldığınız bir account vardır yeni mail almışsınızdır vs vs. ilk olarak mail değiştirilemez demek yanlış bir yaklaşımdır, bugün sayısız hizmet mail adresi üzerinden account tanımlama yapıyor ve bir çoğu da mail adresinin değiştirilebilmesine olanak sağlıyor.

    bu tarz account kritik bilgi değişikliklerinin önlenmesi için farklı yöntemler var, ilki milli siber savunma yöntemimiz olan anne kızlık soyadının ilk harfi ve son harfi ya da kişisel soru. ikincisi alternatif bir mail adresi ile çift koruma. üçüncüsü ve belki de en etkilisi cep telefonu ile koruma. tüm bankalar bu hizmeti mesaj üzerinden hallediyor örneğin, gmail de artık bir aktivasyon kodu gönderiyor mesaj ile, şifre değişikliği vs gibi konularda. bunun haricinde bir de application üzerinden kontroller var, örneğin whatsapp web application için aynı network'te olmanız yetmez qr kodu taraması ister. blizzard'ın authenticator'ı var örneğin giriş yapılmak istendiğinde şu lokasyondan girilmek isteniyor onaylıyor musunuz diye application uyarıyor. eskiden kod üretiyordu manuel girmek gerekiyordu vs.

    uzun lafın kısası aslında mail adresinin değiştirilemez yapılması bir güvenlik önlemi değildir, değiştirebilinmesi bir özelliktir (it's not a bug, it's a feature). bunu bir "açık" olarak nitelendirmek yanlıştır. netflix güvenli değil çünkü mail değiştirilebiliyor demek yerine bu önlemlerin hangisini kullanıyor diye bakmak gerekir.
  • yazarın söylediği şekliyle bakınca bir güvenlik açığı olduğu anlaşılıyor.

    ancak, bugün deneme amaçlı netflix hesabı açtım. benden şifre işlemleri için telefon numarası istedi. anladığım kadarıyla güvenlik önlemlerini mail üzerinden değil telefon üzerinden sağlayacak bir alt yapı geliştirmişler.

    edit:
    yazar hehe ile yaptığımız araştırmacılık sayesinde, gerçekten de bir güvenlik açığı tespit ettik. mail adresi veya şifre değiştiğinde netflix sadece size mail atarak "mailiniz değişti." ya da "şifreniz değişti." diyerek, siz yapmadıysanız geri almak için bir sayfaya yönlendiriyor. oysa daha en başından o değişikliği benim yapıp yapmadığımı teyit etmesi gerekirdi.

    edit 2: yukarıda yazdığıma bakınca, sanki ben çok bir şey yapmışım gibi duruyor. olayı fark eden hehe. ben sadece deneme yaptım. onun bulduğu bir şeye ortak çıkıyormuşum gibi bir izlenim vermeyeyim.
  • cep telefonunu değiştirmek için sms gerekiyor.

    konu kilit.
  • bugün hesabımın ele geçirilmesine neden olan açık. önce mail adresime şifrenin değiştirildiğine ilişkin mail geldi. 2.5 saat sonra da mailin değiştirildiği ile ilgili olanı geldi. bilgisayardan giremedim ama uygulamadan nasılsa girmeye devam edebildim. ilk telefon numaramı değiştirmeye çalıştım olmadı, kart bilgilerimi de silemedim.

    daha sonra ilk olarak şifremi, sonra mail adresimi eski haline getirdim. hala nasıl olabildi böyle bir şey anlayabilmiş değilim. arjantin ve kolombiya'dan birileri girdiği için her şey bir anda ispanyolca'ya döndü. çok ilginçti gerçekten. üyeliği iptal etmemin üzerinden kısa bir süre geçtikten sonra olması da şaşırtıcı.
  • bu gerzek açık nedeniyle şifrem gayet çalınmış, e-mail adresim de bir güzel değiştirilmiş, yetmemiş premium plana geçirilmiş, ben ödüyorum, meksika'dan adam smart tvsinde izliyor.
    2 dk da canlı sohbet üzerinden çözdük de, neden olsun hocam.. çok saçma... sana yakışmadı netflix canım, bebeğim..