Servicio de suscripción a entradas de películas MoviePass ha expuesto decenas de miles de números de tarjetas de clientes y tarjetas de crédito personales porque un servidor crítico no estaba protegido con una contraseña.
Mossab Hussein, investigador de seguridad de la firma de ciberseguridad SpiderSilk, con sede en Dubai, encontró una base de datos expuesta en uno de los muchos subdominios de la compañía. La base de datos era masiva, contenía 161 millones de registros en el momento de la escritura y crecía en tiempo real. Muchos de los registros eran mensajes de registro normales generados por computadora utilizados para garantizar la ejecución del servicio, pero muchos también incluían información confidencial del usuario, como los números de tarjeta de cliente de MoviePass.
Estas tarjetas de cliente MoviePass son como tarjetas de débito normales: son emitidas por Mastercard y almacenan un saldo en efectivo, que los usuarios que se suscriben al servicio de suscripción pueden usar para pagar para ver un catálogo de películas. Por una tarifa de suscripción mensual, MoviePass usa la tarjeta de débito para cargar el costo total de la película, que el cliente luego usa para pagar la película en el cine.
Revisamos una muestra de 1,000 registros y eliminamos los duplicados. Un poco más de la mitad contenía números únicos de tarjetas de débito MoviePass. Cada registro de tarjeta de cliente tenía el número de tarjeta de débito MoviePass y su fecha de vencimiento, el saldo de la tarjeta, cuando se activó.
La base de datos tenía más de 58,000 registros que contenían datos de tarjetas, y estaba creciendo por minutos.
También encontramos registros que contienen los números de tarjetas de crédito personales de los clientes y su fecha de vencimiento, que incluía información de facturación, incluidos nombres y direcciones postales. Entre los registros que revisamos, encontramos registros con suficiente información para realizar compras fraudulentas con tarjeta.
Sin embargo, algunos registros contenían números de tarjetas que habían sido enmascarados, excepto los últimos cuatro dígitos.
La base de datos también contenía dirección de correo electrónico y algunos datos de contraseña relacionados con intentos fallidos de inicio de sesión. Encontramos cientos de registros que contienen la dirección de correo electrónico del usuario y presumiblemente escribimos una contraseña incorrecta, que se registró, en la base de datos. Verificamos esto intentando iniciar sesión en la aplicación con una dirección de correo electrónico y una contraseña que no existían pero que solo nosotros sabíamos. Nuestra dirección de correo electrónico y contraseña falsas aparecieron en la base de datos casi de inmediato.
Ninguno de los registros en la base de datos fue encriptado.
Hussain contactó al director ejecutivo de MoviePass, Mitch Lowe por correo electrónico, que TechCrunch ha visto, durante el fin de semana, pero no recibió respuesta. Fue solo después de que TechCrunch se comunicó el martes cuando MoviePass desconectó la base de datos.
Se entiende que la base de datos puede haber estado expuesta durante meses, según los datos recopilados por la firma de inteligencia de amenazas cibernéticas RiskIQ, que detectó el sistema por primera vez a fines de junio.
Le hicimos varias preguntas a MoviePass, incluido por qué se ignoró el correo electrónico inicial que revelaba el lapso de seguridad, por cuánto tiempo estuvo expuesto el servidor y sus planes de revelar el incidente a clientes y reguladores estatales. Cuando se llegó, un portavoz no hizo comentarios antes de nuestra fecha límite.
MoviePass ha estado en una montaña rusa desde que llegó al público general el año pasado. La compañía aumentó rápidamente su base de clientes de 1,5 millones a 2 millones de clientes en menos de un mes. Pero MoviePass se desplomó después de que los críticos dijeron que creció demasiado rápido, lo que obligó a la compañía a dejar de operar brevemente después de que la compañía se quedara sin dinero brevemente. La compañía luego dijo que era rentable, pero luego suspendió el servicio, supuestamente para trabajar en su aplicación móvil. Ahora dice que ha "restaurado [service] a un número sustancial de nuestros suscriptores actuales ".
Los datos internos filtrados de abril dijeron que sus números de clientes pasaron de tres millones de suscriptores a unos 225,000. Y solo este mes, MoviePass, según los informes, cambió las contraseñas de los usuarios para obstaculizar el acceso de los clientes que utilizan ampliamente el servicio.
Hussain dijo que la compañía fue negligente al dejar los datos sin cifrar en una base de datos expuesta y accesible.
"Seguimos viendo compañías de todos los tamaños utilizando métodos peligrosos para mantener y procesar datos privados de los usuarios", dijo Hussain a TechCrunch. "En el caso de MoviePass, estamos cuestionando la razón por la cual los equipos técnicos internos alguna vez podrían ver datos tan críticos en texto sin formato, y mucho menos el hecho de que el conjunto de datos fue expuesto al acceso público por cualquier persona", dijo.
El investigador de seguridad dijo que encontró la base de datos expuesta utilizando sus herramientas de mapeo web creadas por la compañía, que se asoma a bases de datos no protegidas por contraseña que están conectadas a Internet e identifica al propietario. La información se divulga de forma privada a las empresas, a menudo a cambio de una recompensa por errores.
Hussain tiene un historial de encontrar bases de datos expuestas. En los últimos meses encontró uno de los laboratorios de desarrollo de Samsung expuesto en Internet. También encontró una base de datos de back-end expuesta que pertenece a Blind, una red social de trabajo impulsada por el anonimato, que expone datos de usuarios privados.
Lee mas:
Source link