Netflixが日本上陸してから愛用していたりするが、僕のアカウントがハッキングを受けた。
事の始まりは9月の頭。Netflixの有効期限が切れそうだったので、ローソンでNetflixカードを買いに行った。まずプリペイドカードにしたのは、クレカの無断使用を検知したカード会社が新しいのを送ってきたのだが修正がめんどいのでプリペイドでやりゃあええかと思い購入。コード入力がなんか面倒くさかったイメージがあるがひとまずチャージ完了メールが来た。
その後数日して、Netflixがインドからログインされましたというメールを送ってきた。
そこでパスを変えたのだが、インドの警察物の視聴履歴があったちょっとワロタ。
更に数日してインドからのログインがあって「またバレたのか?」と思いつつも仕事中だったので夜に家でパス変更の作業をしたのだが、ここに問題があった。
記憶があいまいだが、いつものログイン用メルアドで新規アカウントの作成が始まったのだ。僕はソフトウェアエンジニアなので、メールアドレスでログインできるようなシステムだとアドレスがIDでありユニークだということを知っている。普通は一度登録したアカウントで再度新規登録はできないのが当たり前だ。そういう常識があったので、新規アカウント作成はNetflixの仕様かなんかだろうと思って進めた。そこに疑問を持つべきだったのだが。支払情報を登録求められて、アプリからだとiPhoneで支払うことがきるという選択があったのでそれにすることにした。パスワードはNetflixがデフォルトで用意している強力なパスを採用して、iPhoneに自動保存することにした。
登録が完了すると、無料期間が1カ月付与されたと通知があり「なんだか知らんけどラッキー」ぐらいに思った。無料期間が過ぎればプリペイドから差し引かれて、そのあとはiPhoneの支払いだろうと勝手に思い込んでいた。それから1カ月ほどたち無料期間がなくなるという通知が来た。そろそろプリペイドの課金が差し引かれるかチェックしないといけないと思い、アカウント確認するとチャージ残高がない。まったくない。
腹を立てた僕はメールを探してチャージされた通知を調べた。確かに見たはずのチャージ完了メールが恐らくゴミ箱内で自動削除されていたようだ。そこで初めてNetflixのヘルプに電話することにした。この電話体験は感動的だ。まずNetflixのアプリからだと電話料金はかからない。ギガは消費するが。次に待ち時間を事前通知される。僕がかけた時は 1分の待ち時間だと通知された。
さて肝心の対応である。問題点は一つ。
「課金したはずのお金がチャージされていない。」
それについて問うと担当者は丁寧に答えた。
要点は二つ
・プリペイドカードは残っているか
・チャージ完了メールは残っているか
残念ながらどちらもなかった。その場合は対応できないということだった。
だが僕はイラっときた
「僕はソフトウェアエンジニアなんですがねえ(イキリ
Netflixは視聴履歴なんかも残しているでしょう?
チャージの履歴がデータベースに残っていないなんてありえないでしょう?(半ギレ
データベースの検索ができる人呼んでくれませんかねえ?」
こういうとしばらく待たされた。
調査結果の末は
・該当のアカウントのメールアドレスは9月に初めて登録されたことになっている。
・かつて同じアドレスで登録されたアカウントがあり、ログイン用のアドレス変更が行われた別のアカウントがある。
・メールアドレスを一度登録しても、別のアドレスに変更処理をすれば、以前のアドレスを新規アカウント作成で使うことができる。
ということがわかった。
今度はちゃんとアドレスの変更履歴まで調べたらしい。
話しているうちに驚愕の事実が知れた。
①9月の頭にNetflixのチケットを買って最初のアカウント(仮にA)にチャージされた
②アカウントAにハッキングを受け、インド人がアカウントAのメールアドレスを変更した。
③しばらくして、僕がログインしようとした時にアカウントAのもとのアドレスで新規アカウントとして登録が始まりアカウントAとは別のアカウントZを作成したことになった。
④僕はアカウントZを以前からのアカウントAだと思い込んでいたが、実は新規アカウントでそのため無料期間が付与された。
⑤Netflixに電話をかけることで、僕がアカウントAだと思って使っていたのは新しいアカウントZであることがわかり、以前から利用していたアカウントAはハッキングされっぱなしでインド人が現在も使っていた。
ということがわかったのだ。電話担当は申し訳なさそうに一つずつ作業説明をした。僕がチャージしたお金はアカウントAに入っていて、しかもプレミアムサービスを勝手に利用されていたので残高が50円ぐらいしかない。とりあえず無料期間のアカウントZは解約することにしてiPhoneから登録解除した。
そのあと、アカウントAのメールアドレスを僕の元のアドレスに戻す作業をしてもらい、すべてのブラウザ・アプリから強制ログアウトをしてもらった。
インド人が勝手に登録したプレミアムサービスが11月初頭まで残っているので、それはそのまま継続するということになった。それが終わった後、Netflixから3ヵ月無料を付与するということで決着がついた。Netflixのコールセンター対応は素晴らしかったと思うが、以前に使ったアカウントを新規登録できるのはセキュリティホールくせえなと思った。頭をひねれば無限無料ウォッチングができそうな気さえする。
ログインすると二つのプロフィール、SPADAとキッズアカウントのHAMADAがでてきた。ハマタなにしとんねん。サクッと削除して、プロフィールを変更。視聴履歴はフレンズぐらいしかなかった。本当にインド人なのかな。
HAMADAの方の履歴とかってあったのかな。確認すればよかった。やっぱガキ使とか絶対に笑ってはいけないだったりするんだろうか。ともあれNetflixから800円のベーシックプラン3か月分が付与されたのでその分は丸々得したということかな。2000円のチケットで課金されたばかりのプレミア(1950円ぐらい)1カ月はなんかもったいない気がするけど。
というわけで昔から使っているアカウントにいきなり無料期間が付与されたならハッキングを疑った方がいいよ。