Me secuestaron la cuenta de Netflix (y pude recuperarla)



Estas cosas les pueden pasar a cualquiera pero en esta oportunidad me pasó algo que, estoy seguro, no es enteramente mi culpa.

Se las explico en video pero también en texto por si no quieren escucharlo :P En el video incluyo capturas de pantalla:


El video tuve que moverlo a Vimeo porque en Youtube recibí un Strike por denunciar esto, increíble censura


El domingo me encontré con un extraño email de Netflix, básicamente decía que se iba a dar de baja mi cuenta como yo lo había solicitado, obviamente, como se imaginarán, yo no había solicitado nada y entrando a mi cuenta desde el browser no podía cambiarlo, me mostraba un mensaje de error y no mucho más.

En la madrugada llegó otro e-mail, en este caso me confirmaba Netflix algo que tampoco había solicitado, ya se había cambiado mi dirección de correo electrónico ¿QUÉ?



Primero que nada, ¿Cómo cuernos alguien cambia mi e-mail sin siquiera una confirmación? El e-mail es la base de la cuenta de Netflix, eso y mi tarjeta de crédito, ahora de pronto, gracias a un error de método, el sistema le permitía a un usuario hacerse de mi cuenta, cambiar el e-mail y ver películas tranquilamente.

Netflix jamás me pidió confirmación alguna, sencillamente su proceso de cambio es totalmente inseguro, con tan sólo acceder a la cuenta de alguien es posible secuestrarla.

Lo llamativo fue esa solicitud de baja, ¿la habrá solicitado el que estaba hackeando la cuenta? ¿será que al pedir la baja se puede cambiar el e-mail sin confirmación? Ignoro.

Pero en mi PC todavía estaba logueado así que abrí el chat de soporte (en inglés, era domingo) y rápidamente me atendieron y me fueron guiando.

Me pidieron otro e-mail para transladar mi cuenta a un nuevo usuario, pude ver el registro y un usuario desde un IP de una VPN había entrado y visto Men In Black II (seguramente para probar si se había salido con la suya) y me fueron guiando, en 5 minutos tenía de vuelta mi cuenta.

Pero jamás me quiso responder por qué Netflix había permitido ese cambio de correo, quiso adjudicar cierta culpa en mí diciendo que por ahí yo había seleccionado la opción de no recibir correos de Netflix. Creo que es la excusa más boluda luego del "probó apagar y encender de nuevo el router" de los de Fibertel :D pero evidentemente saben que algo está mal y por eso solucionan todo tan rápido sin dar explicaciones ni preguntar demasiado.

Es más, desde su lado debe ser bastante obvio, el "kaker" estaba utilizando un email de una cuenta descartable, era obvio que entre ese y el que viene usando la cuenta desde Argentina hace años era fácil definir. ¿Pero qué sucedería si no es así? Interesante situación.

Otra es que pueden haber entrado utilizando algún password inseguro que pudo haber coincidido con la base robada a Adobe con 250 millones de e-mail/password en texto plano que tenían de todos los que nos registramos allí alguna vez.

No recuerdo cual era mi password de Netflix pero si justo coincidía, bueh, ahí está MI brecha, pero ¿Y eso qué? Si el tipo se hubiese conformado con mi login podría haber visto películas toda la vida sin que yo me entere, sin embargo prefirió secuestrar la cuenta y así no sólo me di cuenta, además expuso esta ridícula falla de seguridad de Netflix.

Así que, en resumidas cuentas, si les pasa lo mismo ya saben, esos mails significan que alguien entró a la cuenta e intentará secuestrarla, lo hará, pero el chat de Netflix, por suerte, es muy bueno y efectivo, tienen un soporte técnico muy bueno para eso.

Lo malo, no te dicen cómo fue ni porqué, eso de cambiar un e-mail sin confirmación... es cualquiera...

Otros posts que podrían llegar a gustarte...

Comentarios

  • Joaco    

    ¿o sea que ahora te van a recomendar contenido en base a Men in black? :D

    Nunca habia escuchado esto, palito para Netflix.

    • Responder
    • Citar
    • Comentado:
  • Joaco dijo:

    ¿o sea que ahora te van a recomendar contenido en base a Men in black? :D

    Nunca habia escuchado esto, palito para Netflix.


    tampoco había escuchado de esta situación, fue bastante rara, el método es obviamente algo que han ido refinando para obtener cuentas "gratuitas"

    • Responder
    • Citar
    • Comentado:
  • La verdad que Netflix se esta dejando estar bastante o no están dando a basto ahora que están en 135 países. Yo tuve un problema raro con los servidores, supuestamente estábamos viendo 2 televisores y no me dejaba ver nada ni ingresar, cuando tengo solo 1 consola para ver y las computadoras todas apagadas en ese momento. No volvieron a joder pero fue raro.

    Sea como sea es una verguenza de parte del sistema de seguridad, la ventaja es la calidad del servicio técnico que tienen. Tengo una anécdota en su chat, realmente de los mejores casi.

    Saludos Fabio!

    • Responder
    • Citar
    • Comentado:
  • Gustavo V    

    en muchas empresas con tal de llegar primeros se olvidan de cosas basicas.

    • Responder
    • Citar
    • Comentado:
  • David    

    Fabio, te cuento algo similar que me pasó a mí recientemente y que todavía no he podido solucionar, a ver si se te ocurre qué más puedo intentar.

    Es la historia de cómo me secuestraron la cuenta de twitter, y todavía no lo he podido solucionar

    Yo tengo un dominio registrado, y lo uso principalmente para mail. Cuando registré mi cuenta de twitter en 2008, usé un email @ mi dominio.

    Resulta que un día me dejaron de llegar mails, y ahí me di cuenta de que me habían secuestrado el dominio. Básicamente, un "kaker" ruso convenció a mi registrar de que él era yo, y así consiguió que el registrar le transfiriera el dominio a su cuenta.

    Después de 3 días de pelearme con el registrar y mandarles mil documentos, me devolvieron el dominio.

    Y tardé un par de días más en darme cuenta de por qué me habían secuestrado el dominio: para poder secuestrarme el twitter. Básicamente, como mi cuenta de twitter estaba registrada a un mail con ese dominio, y en 2008 no había muchas medidas de seguridad, con sólo tener acceso a la dirección de mail en sí, el ruso logró convencer a twitter de que él era yo, y cambiar el mail a alguna porquería xxxxx@yandex.com

    Ya rellené el formulario de contacto para cuentas robadas de twitter 2 veces explicando todo, y twitter me responde con mensajes copy-paste que se hacen eco de la explicación que les doy.

    Ya he recuperado mi mail, entonces le pedí a twitter que simplemente me mande un mail a la dirección que esa cuenta cuenta ha tenido desde 2008. No me hacen caso, y en vez de contestar a lo que les planteo me siguen contestando con mensajes copy-paste diciendo:

    Unfortunately, we’re unable to verify you as the account holder and cannot assist you in accessing the account.

    If you know which email address is associated with your account and you no longer have access to that email, please contact your email provider for assistance.

    For privacy reasons, I’m not able to provide any additional information about this account’s email address. Even if you mistyped your email address on signup, we require that you write to us from the exact address tied to the account. There are no security questions you can answer nor additional information you can provide as proof of ownership.

    While we understand it can be disappointing when you lose access to an account, these verification requirements are in place to protect accounts and private user data.

    O sea, ni siquiera se gastaron en leer lo que les escribí, y me contestan esta porquería copy-paste que no responde a mi pregunta!!

    Alguna idea?

    • Responder
    • Citar
    • Comentado:
  • David dijo:

    Fabio, te cuento algo similar que me pasó a mí recientemente y que todavía no he podido solucionar, a ver si se te ocurre qué más puedo intentar.

    Es la historia de cómo me secuestraron la cuenta de twitter, y todavía no lo he podido solucionar

    Yo tengo un dominio registrado, y lo uso principalmente para mail. Cuando registré mi cuenta de twitter en 2008, usé un email @ mi dominio.

    Resulta que un día me dejaron de llegar mails, y ahí me di cuenta de que me habían secuestrado el dominio. Básicamente, un "kaker" ruso convenció a mi registrar de que él era yo, y así consiguió que el registrar le transfiriera el dominio a su cuenta.

    Después de 3 días de pelearme con el registrar y mandarles mil documentos, me devolvieron el dominio.

    Y tardé un par de días más en darme cuenta de por qué me habían secuestrado el dominio: para poder secuestrarme el twitter. Básicamente, como mi cuenta de twitter estaba registrada a un mail con ese dominio, y en 2008 no había muchas medidas de seguridad, con sólo tener acceso a la dirección de mail en sí, el ruso logró convencer a twitter de que él era yo, y cambiar el mail a alguna porquería xxxxx@yandex.com

    Ya rellené el formulario de contacto para cuentas robadas de twitter 2 veces explicando todo, y twitter me responde con mensajes copy-paste que se hacen eco de la explicación que les doy.

    Ya he recuperado mi mail, entonces le pedí a twitter que simplemente me mande un mail a la dirección que esa cuenta cuenta ha tenido desde 2008. No me hacen caso, y en vez de contestar a lo que les planteo me siguen contestando con mensajes copy-paste diciendo:

    Unfortunately, we’re unable to verify you as the account holder and cannot assist you in accessing the account.

    If you know which email address is associated with your account and you no longer have access to that email, please contact your email provider for assistance.

    For privacy reasons, I’m not able to provide any additional information about this account’s email address. Even if you mistyped your email address on signup, we require that you write to us from the exact address tied to the account. There are no security questions you can answer nor additional information you can provide as proof of ownership.

    While we understand it can be disappointing when you lose access to an account, these verification requirements are in place to protect accounts and private user data.

    O sea, ni siquiera se gastaron en leer lo que les escribí, y me contestan esta porquería copy-paste que no responde a mi pregunta!!

    Alguna idea?


    lo increíble de estos casos es que son sistemáticos: PASAN SIEMPRE

    y las empresas en vez de responder como corresponde te ignoran y te mandan a sistemas de respuesta automáticos porque, oh casualidad, los kakers también tratan de abusar de estos sistemas de recupero para sus robos.

    EL SISTEMA ESTÁ PODRIDO!

    tu mismo caso y lo ví en una oportunidad, robo de cuenta de twitter, lo ideal en estos casos es tener toda cuenta asociada a una de Gmail y éste con doble validación para el login, así no te pueden "kakear" la cuenta, es una mierda

    • Responder
    • Citar
    • Comentado:
  • Mario    

    Me llamó la atención:

    Fabio Baccaglioni dijo:

    No recuerdo cual era mi password de Netflix pero si justo coincidía;


    O sea, que no usás algún gestor como LastPass ?

    Yo antes le escapaba a la idea de ´usar otra app mas´, pero es muy cómodo la verdad..

    • Responder
    • Citar
    • Comentado:
  • Hugo    

    Más fácil que Lastpass o algo similar, es usar LA MISMA CLAVE para todo, pero agregale al principo las dos letras de la pagina/servicio.
    Netflix: NEpassword1234
    Gmail: GMpassword1234

    Es sencillo, mejora la seguridad y cada cuenta tiene una clave diferente.

    (Dos letras, una, tres, separalas con un guion... cualquier combinación que te acuerdes sirve)

    Mario dijo:

    Me llamó la atención:

    Fabio Baccaglioni dijo:
    No recuerdo cual era mi password de Netflix pero si justo coincidía;


    O sea, que no usás algún gestor como LastPass ?

    Yo antes le escapaba a la idea de ´usar otra app mas´, pero es muy cómodo la verdad..

    • Responder
    • Citar
    • Comentado:
  • Hugo dijo:

    Más fácil que Lastpass o algo similar, es usar LA MISMA CLAVE para todo, pero agregale al principo las dos letras de la pagina/servicio.
    Netflix: NEpassword1234
    Gmail: GMpassword1234

    Es sencillo, mejora la seguridad y cada cuenta tiene una clave diferente.

    (Dos letras, una, tres, separalas con un guion... cualquier combinación que te acuerdes sirve)

    Mario dijo:
    Me llamó la atención:

    Fabio Baccaglioni dijo:
    No recuerdo cual era mi password de Netflix pero si justo coincidía;


    O sea, que no usás algún gestor como LastPass ?

    Yo antes le escapaba a la idea de ´usar otra app mas´, pero es muy cómodo la verdad..


    Llegan a kakear dos sitios, te junan el estilo de combinación y se te caen todos lo muñecos en lo que tarda un generador bruteforce en hacer una listita de dos o tres caracteres.

    • Responder
    • Citar
    • Comentado:
  • Mario    

    Hugo dijo:

    Más fácil que Lastpass o algo similar, es usar LA MISMA CLAVE para todo, pero agregale al principo las dos letras de la pagina/servicio.
    Netflix: NEpassword1234
    Gmail: GMpassword1234

    Es sencillo, mejora la seguridad y cada cuenta tiene una clave diferente.

    (Dos letras, una, tres, separalas con un guion... cualquier combinación que te acuerdes sirve)



    No me preocupa tener exactamente la misma pass. sino que se filtre una pass en texto, y puedan derivarse las demas.
    Si mi pass en adobe era ADcaballocorrecto%, seria obvio probar FBcaballocorrecto67% para mi Facebook...

    Yo uso lastpass para quedarme un poco tranquilo con todos los password que guardo de mis clientes.

    Y un clasico:

    • Responder
    • Citar
    • Comentado:
  • Santiago    

    David dijo:

    Alguna idea?


    De poco te sirve esto ahora, pero NO hay que usar un dominio propio para registrar cuentas.

    • Responder
    • Citar
    • Comentado:
  • Ariel    

    Fabio, a diferencia de tu caso, el soporte de Amazon no solo no fue de ayuda sino además el causante:

    http://arstechnica.com/security/2016/01/how-amazon-customer-service-was-the-weak-link-that-spilled-my-data/

    • Responder
    • Citar
    • Comentado:
  • Tomas    

    Ignacio Brasca dijo:

    La verdad que Netflix se esta dejando estar bastante o no están dando a basto ahora que están en 135 países. Yo tuve un problema raro con los servidores, supuestamente estábamos viendo 2 televisores y no me dejaba ver nada ni ingresar, cuando tengo solo 1 consola para ver y las computadoras todas apagadas en ese momento. No volvieron a joder pero fue raro.


    Me paso esto también a mi la semana pasada

    • Responder
    • Citar
    • Comentado:
  • David    

    Santiago dijo:

    David dijo:
    Alguna idea?


    De poco te sirve esto ahora, pero NO hay que usar un dominio propio para registrar cuentas.


    Entendido. Pero si a alguien se le ocurre qué puedo hacer para recuperar mi twitter, por favor avise.

    • Responder
    • Citar
    • Comentado:
  • Sebas    

    Fabio Baccaglioni dijo:

    Joaco dijo:
    ¿o sea que ahora te van a recomendar contenido en base a Men in black? :D

    Nunca habia escuchado esto, palito para Netflix.


    tampoco había escuchado de esta situación, fue bastante rara, el método es obviamente algo que han ido refinando para obtener cuentas "gratuitas"

    Es algo muy común robar cuentas de Netflix, de todo tipo de contenido que sea streaming. Páginas porno son el clásico y le siguen los Filehost.
    Si mal no recuerdo habia un par de foros donde pagabas para acceder y ahi la gente posteaba cuentas que iba crackeando. La ironia de pay2pirate

    pd: si es factible que la culpa del asunto haya sido de tu lado


    Mario dijo:
    Me llamó la atención:

    Fabio Baccaglioni dijo:
    No recuerdo cual era mi password de Netflix pero si justo coincidía;


    O sea, que no usás algún gestor como LastPass ?

    Yo antes le escapaba a la idea de ´usar otra app mas´, pero es muy cómodo la verdad..



    Mario dijo:
    Hugo dijo:
    Más fácil que Lastpass o algo similar, es usar LA MISMA CLAVE para todo, pero agregale al principo las dos letras de la pagina/servicio.
    Netflix: NEpassword1234
    Gmail: GMpassword1234

    Es sencillo, mejora la seguridad y cada cuenta tiene una clave diferente.

    (Dos letras, una, tres, separalas con un guion... cualquier combinación que te acuerdes sirve)



    No me preocupa tener exactamente la misma pass. sino que se filtre una pass en texto, y puedan derivarse las demas.
    Si mi pass en adobe era ADcaballocorrecto%, seria obvio probar FBcaballocorrecto67% para mi Facebook...

    Yo uso lastpass para quedarme un poco tranquilo con todos los password que guardo de mis clientes.

    Y un clasico:

    Si quieren guardar passwords...un excel/txt en un truecypt container y de ahi a un pendrive/dropbox/drive/batata

    http://arstechnica.com/security/2015/06/hack-of-cloud-based-lastpass-exposes-encrypted-master-passwords/
    http://www.pcworld.com/article/2936621/the-lastpass-security-breach-what-you-need-to-know-do-and-watch-out-for.html

    • Responder
    • Citar
    • Comentado:
  • Me paso hace mucho tiempo, tenia mi cuenta de Twitter, estaba todo muy lindo, hasta que sali de la nefasta personal y me pase a Claro, que paso? A la mierda la verificacion en dos pasos de Twitter, dejo de fallar, entonces chau todo, no tenia como iniciar sesion, por suerte los tipos de Twitter me lo solucionaron aunque no se encargaron de verificar mucho si yo era yo :D pero justamente al ser un tema de ellos, calculo como netflix, se habran querido deshacer rapido del error.

    Lo mismo me paso con Microsoft, ellos tienen una App Autenticadora, que te genera los codigos, el tema es, si formateas el telefono, cuando inicies la sesion te va a pedir un codigo de seguridad al ingresar, el cual no podes generar porque osea no tenes la app :D otro tema curioso es que tampoco podes pedir el numero, porque no podes recibir mensajes ya que estas en la "configuracion incial" :D uno puede, tranquilamente iniciar sin la cuenta y luego instalarse la app o pedir el sms, no obstante, me di cuenta que con la cuenta abierta fui capaz de desactivar la verificacion en 2 pasos sin problemas, osea que una vez que estoy "online" la verificacion en dos pasos es un chiste. :D

    Preparate para los mails onda "Fabio necesito robar una cuenta de facebook, como hago?"

    • Responder
    • Citar
    • Comentado:
  • Que vergüenza lo que te hizo youtube
    Espero que pronto reviertan ese strike.
    Todo mi apoyo.

    • Responder
    • Citar
    • Comentado:
  • Gabriela    

    Me paso algo parecido con mi cuenta de netflix. Hace unos 15 dias me llego un mail de netflix, de que elcambio de plan solicitado (subirme a un plan mas alto) se habia realizado con exito.
    Llame al 0800 de netflix que te atienden al toque, y sin darme demasiadas explicaciones me volvieron al plan anterior, accedieron ellos a la cuenta desde mi mail y cambiaron el plan.
    Cuando les consulte por que habia ocurrido esto, si ellos no pueden verificar desde q ip se realizo el cambio, me dicen q fue seguramente desde alguno de los dispositivos desde donde yo siempre me conecto, pero que por razones de seguridad no podian decirme cual, y me dijeron que cambiara la contraseña, que era larga, tenia mayusculas y minusculas y sin embargo no fue suficiente para no poder hackearla. y lo hice
    Entre a mi cuenta, mi perfil, actividad de visualizacion, revisa los accesos recientes a tu cuenta, y ahi podes ver la ip y el pais desde donde se conectarony que alguien se estaba conectando desde otro pais, desde paraguay.
    Cualquier cosa, pueden revisar los accesos desde ahi para verificar si notan algun acceso extraño.
    Desde que cambie la contraseña no hubo mas problemas, y si, mi contraseña coincidia con una de Adobe
    Saludos!
    Gabba

    • Responder
    • Citar
    • Comentado:
  • Marto    

    Una vez por semana tengo que andar cambiando la contraseña. No me la sacan, simplemente me aparecen cosas que yo no vi, y DOBLADAS!
    Me pasó siempre con el mismo usuario, y no me dan explicación. Tenga cuidado, me dijeron. Ya no sé qué hacer.

    • Responder
    • Citar
    • Comentado:
  • Mara    

    A mí me han secuestrado también la cuenta de Netflix, el caso es parecido al contado aquí, me enviaron un email de confirmación de cambio de contraseña y de email ¿cómo hacen esto sin asegurarse? Aún no me han restablecido la cuenta porque ahora necesitan "por seguridad" los dígitos de la tarjeta con la que hice el pago, ahora sí les importa la seguridad y yo mientras pagándole a alguien que está viendo mi canal. Es increíble

    • Responder
    • Citar
    • Comentado:

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https
Para evitar bots, si se tardó mucho en leer la nota seguramente no sirva y tenga que intentar dos veces

Negrita Cursiva Imagen Enlace


comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador