免费Netflix Cookies？多个网站提供了指示信息，以绕过Netflix安全和免费访问帐户

随着流媒体服务加紧努力以减少密码共享，新出现的Netflix帐户黑客行为可能使公司及其用户感到担忧。现在有数十个网站提供 免费访问Netflix，无需密码.

相反，该骇客依靠简单的基于网络浏览器的旁路来访问其他用户的付费或免费试用帐户。 Netflix或其他流媒体服务也几乎无法做到这一点，而又不会显着影响用户体验.

在过去的12个月中，越来越多的网站开始公开宣传他们所谓的“Netflix高级Cookie”。这些基于浏览器的文件中的代码可以共享，并且如果正确实施，则可以完全绕过Netflix的帐户安全方法，从而可以完全访问高级Netflix帐户，而无需输入密码或付款. 

使用此方法，任何人都可以轻松逃避为Netflix帐户付款。我们发现，这些免费提供的Netflix会话Cookie中至少有一部分访问了可能是为此目的而创建的注册试用帐户。但是，我们还发现，这种帐户绕过方法也可以用于从付费帐户中窃取的Netflix用户数据. 

根据Facebook自身的Cookie窃取恶意软件威胁之后的2023年情况，这些“免费” Netflix cookie中的某些可能会被盗，而不是通过免费试用帐户提供。无论哪种情况，此方法都违反了Netflix的帐户共享服务条款.

通过对Netflix的持续研究，我们发现：

• 超过两个网站定期发布或发布Netflix Cookie数据（通常被广告为“ Netflix会话Cookie”），任何人都可以绕过正常的帐户安全方法并非法访问Netflix
• 一些网站每小时更新（或声称更新）其Netflix cookie的缓存
• 这些网站中的大多数是在过去12个月内注册的，这可能表明有一个新的活动可以利用这种绕过方法
• 现在，其中许多网站在Google搜索结果中的排名很高

什么是Netflix永久性Cookie?

现在，几乎每个网站都使用所谓的“ cookie”来存储访问者信息。当您访问网站时，该网站的服务器会告诉您的计算机或设备创建并存储一个包含有关您的访问信息的小文件。如果您要登录帐户，该文件还将通过代码包含匿名信息，该信息可以使服务器在随后的网站访问中知道您的身份.

Cookies使Web变得更加有用和快捷，并创建了较少耗时的浏览体验.

像Netflix和其他许多流媒体服务这样的持久性cookie使得访问您的帐户成为可能，而无需在每次访问时都重新输入用户名和密码。对于通过智能手机或平板电脑应用，Roku或Amazon Fire TV等电视连接的设备或智能电视进行流式传输的用户而言，它们特别有用.

永久性Cookie如何工作?

当您访问网站并登录帐户时，该网站的服务器会指导您的设备创建并存储一个包含基本信息和安全性“标志”的小文件。值得注意的是，cookie文件包含有关文件创建日期，文件过期时间，唯一ID以及有助于保护cookie免受某些类型的黑客攻击和滥用的其他标志的信息。.

例如，以下是您访问Reddit主页后会话cookie文件的外观的一部分：

{
"域"： ".reddit.com",
"截止日期"：1631368533.249147,
"hostOnly"：错误,
"httpOnly"：真,
"名称"： "代币",
"路径"： "/",
"sameSite"： "未指定",
"安全"：真,
"会议"：错误,
"storeId"： "0",
"值"： "eyJhY2Nlc3NUb2tlbiI6IjM0NzE3NjE3LVFNdDJnMHg3ei0zT2U3YkhpRzE1SWpSRS1ONCIsInRva2VuVHlwZSI6ImJlYXJlciIsImV4cGlyZXMiOiIyMDE5LTA5LTExVDE0OjU1OjM0LjUzOVoiLCJyZWZyZXNoVG9rZW4iOiIzNDcxNzYxNy1WRW9KOHdqOXE1U3YyMkRvZWtUTG5ldUo3N1kiLCJzY29wZSI6IiogZW1haWwiLCJ1bnNhZmVMb2dnZWRPdXQiOmZhbHNlfQ == 2",
"ID"：14
}

网站的服务器还会使用您的会话数据创建类似的文件.

当您离开并尝试再次访问大多数网站站点或应用程序时，您的设备会将永久cookie发送到网站的服务器。该网站会验证唯一ID，并根据已存储的ID来访问您的帐户详细信息，然后让您立即下班后进行电视狂欢或亚马逊购物狂欢. 

所有这些通常仅需几秒钟即可完成，这就是为什么您可以点击Netflix App或访问浏览器中的网站并几乎立即进入配置文件选择屏幕的原因.

持久性cookie可以设计成持续几乎任何时间长度。这些时间间隔在Cookie中以秒为单位进行描述，并且上限或下限没有多少。这意味着您的持久性cookie可能会持续几分钟到几千年. 

Cookie的持续时间取决于您使用的网站或服务，因为每个公司都向其Web开发人员指示自己的Cookie应该保留多长时间。只有在您关闭浏览器或应用程序后将这些cookie设计为可保留的时候，它们才属于“持久cookie”类别。那些设计用来在您离开站点时删除的cookie被称为“会话cookie”（尽管大多数提供Netflix cookie的站点错误地将它们称为“会话cookie”）. 

Netflix的永久性cookie通常设计为可持续约365天，这在许多网站中也很常见。除非您有意退出Netflix或手动删除Cookie，否则这些文件将继续让您进入Netflix帐户，直到Cookie过期. 

重要的是，您的Netflix cookie和任何其他持久性cookie 没有附加您的密码和用户名. 如果有人要窃取您的Netflix Cookie数据，尽管仍可以用来访问您的帐户，但该密码不能被用来窃取您的密码。实际上，问题不在于cookie包含安全密码，而是它们完全绕过了对密码的需求.

一般来说，这些安全Cookie文件应仅存在于两个位置：用于帐户的每台计算机或设备，以及要访问其服务的公司服务器。因此，即使您从多个设备流式传输Netflix，这些设备中的每一个都有其自己的唯一会话cookie.

人们如何通过持久性Cookie绕过Netflix安全性?

持久性Cookie旨在允许访问受密码保护的帐户，而无需重新输入帐户安全信息。但是，它们不限于特定设备，也不包含任何标识或硬编码特定设备或位置的信息。也就是说，它们不包含唯一的MAC地址或IP地址. 

这也意味着，如果有人复制并共享该Cookie文件或仅包含其中的数据，则可以使用该信息访问通常受密码保护的帐户。而且频率越来越高，这正是人们在做什么.

EditThisCookie

大多数网络用户缺乏以困难的方式编辑Cookie数据的技术知识或技能。这就是Chrome浏览器插件（如适用于Chrome的EditThisCookie）的出现。这些插件可轻松导入和导出Cookie数据，而无需任何技能或编程经验.

https://cdn.comparitech.com/wp-content/uploads/2023/09/netflixcookies.mp4

实际上，使用此浏览器插件，您可以在几秒钟内导入和导出现有的cookie数据。至少直到最近，唯一的困难是要亲身体验另一个Netflix用户的会话Cookie数据. 

但是，在过去的12个月中，Google开始为超过两个提供“ Netflix会话cookie”的网站建立索引，其中大多数网站还提供了有关如何使用EditThisCookie Chrome扩展程序使cookie生效的说明。在过去的12个月中，这些网站中的许多并不仅仅是在Google搜索中开始占据高位；大多数也是在过去12个月内创建的.

此外，这些网站中的大多数都故意隐藏其所有权信息。我们确实找到了一个我们可以追溯到印度的单个开发人员的站点。截至撰写本文时，他还没有通过电子邮件发送询问以获取有关这些cookie的来源的更多信息。.

Netflix持久性Cookie黑客真的有效吗?

当我从一个Web浏览器在同一台计算机（从Chrome到Opera）上从一个Web浏览器内部测试该方法时，我们验证了该方法可用于从外部获取的Cookie. 

我们与另一位Comparitech编辑之间交换了Netflix Cookie数据。例如，使用EditThisCookie，我可以访问我们的高级编辑Paul Bischoff的Netflix帐户，而无需他的登录信息。我所做的就是：

• 复制他的cookie数据（通过文本文件发送给我）
• 使用EditThisCookie Chrome插件中的“导入功能”
• 粘贴Cookie数据
• 刷新指向Netflix的浏览器页面

几秒钟后，我可以访问他的帐户。我发现我也有完全的特权, 包括更改密码的选项，与该帐户关联的电子邮件地址以及注销他的设备的选项. 我还可以看到他最近使用的设备的IP地址（可用于发起DDoS攻击或SWATing攻击的信息）和他的浏览历史记录. 

如果要更改为新密码，Netflix确实要求您输入当前密码。但是，任何对您的帐户拥有非法访问权限的人都可以看到您的电子邮件地址和电话号码。该信息可以与过去的数据泄露中暴露的信息进行交叉引用（很容易在黑暗的网络上获得），从而可能使黑客获得密码并接管该帐户。因此，为每个在线帐户使用唯一的密码始终很重要.

我唯一不能做的是（谢天谢地）可以访问他的完整付款详细信息（付款名称，所用卡的最后4位数字以及该卡的有效期。即使如此，这也许足以说服您不太挑剔的银行代表可以通过电话提供更多的帐户详细信息.

如果我想完全接管他的帐户，也可以用我自己的付款详细信息代替. 

这些网站在哪里获取Netflix Cookie?

有一些可能性需要考虑。这些共享Netflix永久性cookie的许多网站声称是合法的。它们包含的典型声明是，这些Cookie由个人付费或注册免费试用的个人免费公平地共享。至少，这意味着它们在共享帐户方面公然违反了Netflix的服务条款（ToS）。实际上，在测试中，我们在这些网站之一上找到了至少一个共享的Cookie文件，这些网站可以访问免费试用帐户. 

但是，由于有许多提供免费Cookie的网站，并且有许多声称每天甚至每小时进行更新的网站，因此其中的某些Cookie可能会被盗。根据2023年Facebook遇到的Cookie窃取Stresspaint恶意软件，这种类型的活动也有新的先例.

ISACA网络安全实践总监Frank Downs表示同意。他告诉我们：“这可能是几种不同行动的结果。”.

“是的，网站可能共享Cookie信息，但是……更可能的是，存在一个严重的漏洞，攻击者可以利用这一漏洞进行广泛传播。这甚至可能是Netflix尚未解决的已知漏洞，更不用说利用Netflix流服务的所有合作伙伴了。”

值得称赞的是唐斯。根据网络安全研究员blueberryinfosec（Bbinfosec）在2023年11月发布的中级帖子，Netflix确实知道该漏洞，并认为它“超出范围”。换句话说：最终用户问题，而不是他们的问题。 Bbinfosec在2023年11月的帖子中解释了他是如何将其作为漏洞赏金计划的一部分报告给Netflix的. 

Bbinfosec发布报告后不久，共享Netflix Cookie和上述绕过方法的网站数量迅速增加.

如果发生广泛的Cookie盗窃案，那么这些Cookie可能在何处被盗仍然是个谜。最可能的答案是通过感染了Cookie窃取恶意软件的较旧且安全性较低的设备（与Stresspaint相似），通过XSS攻击或来自通过中间人（MiTM）攻击被劫持的设备.

将近500万个网站可用于窃取Netflix cookie

为了发现潜在威胁的广泛性，Comparitech进行了几项测试，以确定黑客可以使用多少个跨站点脚本（XSS）漏洞来窃取Netflix cookie，当前有多少个网站具有这些漏洞以及是否可以收集XSS攻击Netflix用户的Cookie数据供外部使用.

进一步来说：

• 我们使用Shodan来搜索在CVE上发布的14,221个XSS漏洞，其中204个在线托管的主机容易受到攻击
• 我们找到了28,173,468个实例，其中正在运行的服务（如Apache）受到这些XSS漏洞的影响
• 我们发现的最常见漏洞是PHP中的CVE-2023-17082。它影响了480万个网站

由于Netflix的cookie政策，攻击者可以使用我们发现的任何易受攻击的服务来窃取Netflix会话cookie。我们在实验室中对其进行了自我测试，并且能够使用受感染的网站和旧版本Firefox中的已知漏洞来窃取会话Cookie.

Netflix对旧设备的支持

但是，问题不仅限于易受攻击的网站。涉及Cookie的旧设备会构成安全威胁.

根据ISACA的《网络安全规范》，“受害者使用的过时系统使他们更容易受到攻击。” 

大多数Netflix用户可能通过更新的设备进行流式传输，但是Netflix仍支持Windows 7和Windows Vista操作系统中常见的某些较旧的Web浏览器。这些缺少一些最近更新的cookie安全标志，这些标志可以帮助防止cookie被盗. 

Netflix可在许多较旧的Web浏览器和许多安全性较低的设备上运行。该应用程序还可以下载到通过eBay或Amazon出售的低成本基于Android的流媒体设备上。这些设备可能已经由卖方预先安装了窃取cookie的恶意软件.

此外，由于设备更新频率较低且效率较低，因此通过连接较旧的电视的设备甚至智能电视流式传输的任何人都可能更容易受到影响。唐斯解释说，那些使用此类设备的人“很容易受到较长时间的潜在攻击，从而为恶意行为者提供了更大的攻击窗口”.

虽然其中一些网站所有者及其来源在某种程度上利他主义，但也有可能与Netflix帐户盗窃案有牵连。广告和提供的Netflix Cookie数据可能是从黑客那里秘密获取的，并通过这些网站上的网页广告获利. 

永久性Cookie盗窃对基于帐户的网站构成威胁

2023年中，网络安全公司Radware发布了有关病毒“ Stresspaint”的警告。该恶意软件内置于一个名为“ Relieve Stress Paint”的类似应用程序中，谨慎地窃取了受害者的Facebook持久性浏览器cookie。 Stresspaint的程序员获取这些文件后，便可以快速绕过正常的Facebook帐户安全方法（包括用户名和密码要求以及多因素身份验证）来非法访问Facebook帐户. 

“ Stresspaint”令人震惊，但也不是一种新颖的帐户盗窃方法。从技术上更称为“会话劫持”，对于几乎所有使用密码保护帐户的网站，此互联网安全威胁都是一个已知问题。但这对于使用持久性Cookie或在关闭网络浏览器后不会自动删除的Cookie的广泛流行网站（例如Netflix）尤其成问题. 

实际上，这种cookie滥用是一个非常现实的问题，因为Netflix不需要您输入密码来访问帐户设置. 

但是，我们的内部实验仅暗示了更大的问题。与使用会话cookie绕过Netflix帐户安全性相关的活动似乎有非常明显的增加。在2023年8月1日至8月26日期间，我们发现没有任何网站被Google索引为“ Netflix Session Cookies”.

仅仅12个月后，在2023年的同一搜索期间，我们发现了大约十二个站点正在积极发布Netflix用户会话cookie以及如何使用它们的说明。有些还使用诸如“ 100％正常工作”和“每小时更新”之类的关键字，并且根据对网站的评论，许多确实确实在定期更新其会话Cookie列表.

在此搜索范围之外，我们找到了超过十二个网站，这些网站的文章于2023年末发布至8月下旬（当我们完成研究时），其中提供了Netflix cookie和cookie编辑说明。这些网站中的大多数共享同一网站注册商，这可能表明拥有共同的所有权.

Netflix是否面临新的安全威胁?

Netflix近十年来一直是知名品牌。会话劫持或对Netflix cookie的更广泛的误用不太可能是特别新的现象。但是，过去的劫持和帐户共享活动可能是通过黑暗的网络或黑客之间的私人通信渠道发生的. 

然而，似乎在2023年末发生了一些变化. 

在过去的12个月中，竞争发布更新的Netflix会话Cookie的网站数量激增。尽管这些网站免费提供这些cookie，但它们的努力是通过努力的页面赚来的钱，而页面上的广告却不多。其中一些网站甚至可能携带恶意软件，或试图利用前面提到的跨站点脚本攻击类型来窃取Netflix cookie。.

同样，正如Facebook的Stresspaint问题所表明的那样，这种会话劫持也不是什么新鲜事。根据当前的设计，几乎所有使用持久性Cookie的网站都可以通过被盗的Cookie数据被“黑客入侵”. 

就其本身而言，Netflix正在采用其所需的安全措施来帮助保护用户。 Netflix的服务器旨在创建带有行业标准安全标志的会话cookie，包括“ HttpOnly”，“ Secure”和“ SameSite”。用外行的话来说：

• HttpOnly 防止恶意网站代码将Cookie数据共享到JavaScript（通常通过称为XSS注入或跨站点脚本的攻击）
• 安全 强制您的Web浏览器仅通过HTTPS发送cookie
• SameSite 禁止将Cookie发送到其他网站

通过分析我们在这些免费的Netflix cookie网站上找到的cookie，我们发现该公司最终使用了所有当前可用的cookie保护协议：

不过，有可能在野蛮地收集Netflix用户Cookie数据的过程中感染了病毒。当前cookie安全性方面的缺陷可以使黑客绕过HttpOnly和Secure标志，从而使某些中间人攻击仍然可以正常工作并从Netflix用户中抓取数据，特别是通过公共Wi-Fi流式传输的数据. 

综上所述，Netflix的尽职调查在某种程度上受到了公司消息的影响，该消息表明用户根本不关心持久登录。例如，如果您在网络浏览器上注销Netflix帐户，则可能会在注销屏幕上看到以下消息：

Netflix指出：“只有使用共享或公用计算机的会员才需要通过使用注销链接来结束对Netflix的每次访问。”但是，请考虑一下Netflix永久性cookie可能被盗或滥用的事实。通过Facebook的恶意软件问题和我们的实验室测试，我们已经看到了这一点的证据。即使在大多数情况下，这可能也不是Netflix向用户提供最佳建议。在这种情况下，这更是一个缺少需求的问题. 

Netflix用户并不总是需要注销，但在某些情况下，他们很可能希望注销.

如何保护Netflix Cookie

在全球拥有数千万用户的情况下，不大可能会有很大比例的Netflix用户的持久性Cookie被盗。尽管如此，那些有安全意识的人可能想采取一些额外的步骤来防止帐户被接管或帐户滥用.

检查您的电子邮件以获取新的登录信息

每当有新设备登录到您的Netflix帐户时，该服务就会向您发送一封电子邮件，告知您。定期检查您的电子邮件，并查找来自Netflix的新设备登录通知。检查通知详细信息，并确保设备和位置合理。我们发现，即使有人使用被盗的Cookie数据访问您的帐户，您也会收到一封新的登录电子邮件.

检查您最近的设备流历史

在Netflix帐户设置中，找到标题为“最近的设备流活动”的部分。从那里，查看最新的浏览活动，并查找可能与众不同的任何连接。从您之前从未访问过的其他国家或地区的IP地址进行访问可能是一个危险信号。请注意，如果您通过代理（例如VPN）流式传输Netflix，则可能会看到不熟悉的IP地址或位置. 

定期注销所有当前设备

这可能是短期的麻烦，但是您可以通过定期注销所有设备来帮助防止帐户滥用。值得庆幸的是，Netflix在您的帐户设置中提供了一个方便的选项，该选项将立即自动注销所有设备。拥有永久登录Netflix的设备越少，被cookie被盗和滥用的机会就越小.

为您的Netflix帐户使用一个强密码

尽管它不能保护您免受持续的Cookie盗窃和滥用的侵害，但为您的帐户使用并维护强大而独特的密码仍然很重要。使用密码生成器创建密码，并使用安全的密码管理器存储您的密码，以方便访问和参考. 

在您的设备上运行病毒扫描并使用实时防病毒程序

如果您怀疑计算机或其他设备可能已被感染，请运行防病毒程序以检查系统上是否存在任何潜在的恶意软件。不幸的是，您将无法在连接电视的设备或智能电视上运行病毒扫描，但是在这些设备上安装病毒的机会很小.

我们还建议安装和使用实时防病毒工具来帮助防止将来的感染。而且，如果您特别担心MiTM攻击，请确保使用强密码对您的家庭WiFi网络进行密码保护，并监视您的家庭网络用户是否有潜在的盗版者。此外，在公共WiFi上，应尽量减少流媒体访问或访问受密码保护的网站，在公共WiFi上，请使用VPN. 

升级旧设备

正如ISACA的弗兰克·唐斯（Frank Downs）所指出的那样，较旧的设备是主要的安全威胁，尤其是对于使用持久登录的Netflix这样的应用程序而言。如果您仍在使用旧设备，则最好升级. 

Apple TV，Roku和Amazon Fire TV等大多数与电视连接的流行流设备会定期将软件更新推送到其设备（甚至包括许多旧型号）。但是，众所周知，智能电视的更新频率较低，过去的型号有时根本没有更新。对于起居室或卧室电视，使用电视连接的Netflix流媒体设备和其他服务可能会更好. 

有解决持久性Cookie威胁的方法吗?

互联网当前的基础架构围绕速度和便利性而构建，而持久性Cookie则是其中不可或缺的一部分。易用性是以牺牲安全性为代价的，而在当前状态下，持久性cookie肯定存在安全漏洞，如果不对cookie的构建方式进行一些重大更改，可能很难克服这些漏洞。.

唐斯（Downs）为那些想要更好地保护其在线活动的人提供了一些建议。一种是使用Brave Browser，这是一种注重安全性的Web浏览器，其中包含许多隐私功能，有助于防止跟踪和恶意Web活动. 

Netflix用户可能还需要仔细考虑他们自己的Web浏览行为。 Downs解释说：“用户应该留意任何看起来可疑的内容，并在单击之前三思而后行。”. 

对于那些在使用Netflix和任何其他网站时想要最大程度的安全性的用户，总有核能选择：脚本阻止。唐斯说：“但是，这会降低在线体验，用户应该为此做好准备。”

窃取的Netflix cookie可使黑客更轻松地完全接管用户的帐户。此外，任何使用他人的Netflix帐户的人都可以从用户设置中收集足够的信息，从而侵入其他个人帐户. 

经过测试，我们不仅确认了这种持久性cookie技巧，而且还可以窃取cookie。同样，那里有数百万个网站可用于窃取Netflix Cookie数据。尽管提供Netflix Cookie的网站声称这样做是合法的，并且我们确认至少有一些网站仅提供与免费试用相关的Cookie，但它们至少破坏了Netflix的服务条款，更糟糕的是，它们可能参与或助长了Netflix帐户海盗行为.

亚伦·菲利普斯（Aaron Phillips）为这个故事做出了贡献.