“这是网飞企业的账户漏洞攻陷软件不想让你知道”

报告威胁的研究人员表示，netflix的安全弱点允许其在本地互联网上非法访问客户账户，超出了公司的bug奖金计划的范围。 虽然该报告已被驳回，但bugcrowd漏洞报告服务部门仍在试图避免公开这一弱点。

研究人员的概念表明，利用经典的中间人攻击窃取netflix会话cookie。 这些浏览器cookie相当于音乐网站采用的腕带，因为这个付费的顾客不会第二次收取入场费。 具有相对有效的会话的cookie是访问目标netflix帐户所必需的。

发现了这个弱点，在bugcrowd上私下报告的安全研究者varun kakumani说，这次攻击是可能的。 理由是(1) netflix子域持续明码http连接，而不是加密的https连接。 (2) netflix未能在会话cookie上添加安全标记，也未能防止在未加密的连接上输入。

在年的主要web服务中，这些缺失令人震惊。 自2007年国家安全局发布不分青红皂白的间谍活动以来的几年里，这些服务几乎在所有子域中都普遍使用https。 该协议提供了网站和最终用户之间的端到端加密。 netflix没有回复要求对此帖子发表评论的消息。 如果没有企业的说明，则不清楚是由于疏忽了明文连接的采用，还是故意提供各种功能。

“本质上，无论谁在同一wi-fi互联网上，都可以破解netflix帐户。 “旧的mitm攻击。

他说通过bugcrowd报告了这一威胁。 这个漏洞报告服务是netflix为了接受黑客公开而使用的新闻，以换取报酬。 3月11日，bugcrowd向kakumani回复称，报告的弱点超出了奖金计划的范围。 克劳德继续告诉研究者，其服务条款禁止他公开或讨论弱点。

在答复中，“本方案不允许公开。 “不得发布在该计划中发现的漏洞新闻。 这适用于所有提交的文件，与状态示例(超出范围)无关。 这个政策是你在提交时同意的。 再次谢谢你。 祝你今天愉快。

麦克尼无视这个警告，在twitter上发布了一个视频，揭示了这个弱点，详细展示了他的攻击效果。 一位bugcrowd的员工用breonna的名字说:“你的推特是不正当的公开形式。 因为它表明这个程序有特定的漏洞。 它还包括链接到优管poc。 这违反了我们的合同条款。 现在就把这个推特和这个poc视频拉出来从你的管里。”

卡曼尼遵守了要求。 星期三，在发出通知7天后，bugcrowd再次与kakumani联系，告知他的报告因之前提交的报告重复而被驳回。

克劳德的官员在声明中写道:

公开漏洞是微妙而高级的语境对话。 建立了一个组织，我们大力提倡公开，为我们的平台(人群流动)建立功能，让研究者和组织共同公开发现。

但是，由于安全漏洞的性质和不协调披露的潜在风险，顾客遵循的政策是，凡是向平台报告的，都必须得到顾客的批准才能公开共享。 这样，客户就可以在披露前处理漏洞。 任何报告都有可能达到这种状态。 只要研究人员和组织协调他们的活动…如果研究人员未经不允许披露的组织同意而发布漏洞新闻，我们将与研究人员合作，将这些新闻从公开论坛中删除，以保护研究人员和顾客。

我们通过平台和工艺经理来促进这个。 报告漏洞的特定目标是为了让世界更安全而进行补救。

公开永远不会被禁止。 我们主张尽可能多的公开。 这对社区有益，明确后，表明了组织补救问题的安全性。 但重要的是，披露只能在研究人员和客户的项目全员之间讨论后进行，以便双方能够达成相互商定的披露安排等。 在许多情况下，如果有讨论，一般会得到令人愉快的结果，所有当事人都获胜(组织知道并修改了调查结果)。 研究人员可以获得报酬并按明确的时间表披露问题的客户不会因未经授权的披露而面临不必要的风险)。 我们的平台有crowd stream功能和程序团队，可以实现这样的交互。

如上所述，cookie被盗要求攻击者和目标连接到同一wi-fi接入点或其他本地互联网。 未经授权的访问还要求目标登录到netflix帐户。 攻击者使用一种叫做arp中毒的技术拦截目标和netflix之间的流量，然后传播给对方。 然后，攻击者等待目标与任何域建立http连接。 建立未加密连接后，攻击者将html注入连接，并在其中一个netflixhttp子域(如oca-apiflix )中创建第二个连接请求。

netflixid-不受保护的会话cookie的名称-禁止连接到ht tp子域。 如果目标本身不访问http连接(这变得越来越常见。 因为https现在几乎无处不在)，攻击者可以欺骗目标并点击http链接。 拥有cookie后，攻击者会使用浏览器控制台将cookie粘贴到打开的netflix页面上。 这样，攻击者访问目标帐户。

根据库曼尼和bugcrowd的通信记录，漏洞报告服务部门的一名员工表示，拥有netflixid cookie不足以获得非法访问账户。 相反，该工人表示:“这次攻击需要中间人的位置，不会损害用于验证顾客netflix的安全的netflix cookie。 安全netflix cookie有一组安全标志，不会通过未加密的信道发送。 虽然netflix id cookie没有安全标志集，但是需要安全netflix cookie来验证客户。

卡曼尼告诉我工人的说法是错误的。 他的概念说明视频由于bugcrowd的重复，不再公开。 似乎说明了这一点。 表示视频攻击者只使用netflixid cookie访问帐户。

无论如何，受到非法访问的攻击者都无法接管账户。 因为要更改密码或相关的电子邮件地址，需要知道当前的密码。 但是，攻击者可以通过视频查看目标的观看历史、电话号码和其他个人数据。 攻击者也可以将计划改为比高清更高的超高清。 格曼尼表示，即使目标注销账户或在接收监听会话cookie的同一设备上更改密码，也有可能发生非法访问。

考虑到攻击者必须与目标在同一本地互联网上，欺骗目标并点击http链接，或等待目标自己访问，这个弱点得不到广泛利用。 尽管如此，在经常发生的情况下，漏洞为目标攻击提供了机会。 令人惊讶的是，netflix是一家安全记录相当好的公司，会驳回kakumani的报告。

这也凸显了错误的奖励计划在抑制漏洞披露方面的作用。 在企业修复漏洞的同时，隐私毫无疑问是有意义的。 保密防止其他黑客在修复前滥用弱点。

但是，如果弱点得到了修复，或者公司选择不进行修复，则客户必须获得所有错误详细信息，包括攻击是如何发生的。 阻止这些新闻自由流动的bugcrowd政策符合netflix的好处，但是对广大公众的支持很小。