O MoviePass expôs milhares de números de cartões de clientes não criptografados

32

Serviço de assinatura de ingressos de filmes MoviePass expôs dezenas de milhares de números de cartões de clientes e cartões de crédito pessoais porque um servidor crítico não estava protegido por uma senha.

Mossab Hussein, pesquisador de segurança da firma de segurança cibernética SpiderSilk, de Dubai, encontrou um banco de dados exposto em um dos muitos subdomínios da empresa. O banco de dados foi enorme, contendo 161 milhões de registros no momento da escrita e crescendo em tempo real. Muitos dos registros eram mensagens normais de registro geradas por computador, usadas para garantir a execução do serviço – mas muitas também incluíam informações confidenciais do usuário, como os números de cartão do cliente MoviePass.

Esses cartões de cliente do MoviePass são como os cartões de débito normais: eles são emitidos pela Mastercard e armazenam um saldo em dinheiro, que os usuários que assinam o serviço de assinatura podem usar para pagar para assistir a um catálogo de filmes. Por uma taxa de assinatura mensal, o MoviePass usa o cartão de débito para carregar o custo total do filme, que o cliente usa para pagar o filme no cinema.

Analisamos uma amostra de 1.000 registros e removemos as duplicatas. Um pouco mais da metade continha números de cartão de débito exclusivos do MoviePass. Cada registro de cartão de cliente tinha o número do cartão de débito MoviePass e sua data de validade, o saldo do cartão e quando ele foi ativado.

O banco de dados continha mais de 58.000 registros contendo dados de cartões – e crescia a cada minuto.

Também encontramos registros contendo números de cartão de crédito pessoal de clientes e sua data de expiração, que incluíam informações de faturamento, incluindo nomes e endereços postais. Entre os registros que analisamos, encontramos registros com informações suficientes para fazer compras fraudulentas com cartão.

Alguns registros, no entanto, continham números de cartões que foram mascarados, exceto pelos últimos quatro dígitos.

O banco de dados também continha endereço de e-mail e alguns dados de senha relacionados a tentativas de login com falha. Encontramos centenas de registros contendo endereços de e-mail de usuários e presumivelmente senhas incorretamente digitadas – que estavam registradas – no banco de dados. Verificamos isso ao tentar fazer login no aplicativo com um endereço de e-mail e uma senha que não existiam, mas sabíamos apenas. Nosso endereço de e-mail fictício e senha apareceram no banco de dados quase imediatamente.

Nenhum dos registros no banco de dados foi criptografado.

Hussain entrou em contato com o diretor executivo do MoviePass Mitch Lowe por e-mail – que o TechCrunch viu – no fim de semana, mas não recebeu resposta. Foi somente depois que o TechCrunch chegou na terça-feira, quando o MoviePass colocou o banco de dados offline.

O banco de dados foi exposto durante meses. Yonathan Klijnsma, pesquisador de ameaças da firma de inteligência sobre ameaças cibernéticas RiskIQ, encontrou evidências de que o banco de dados estava aberto desde o início de maio. Então, depois que publicamos essa história, o pesquisador de segurança Nitish Shah disse ao TechCrunch que ele também encontrado o banco de dados exposto meses antes. "Eu até os notifiquei, mas eles [não se incomodaram] em responder ou consertar", ele disse. Ele forneceu uma captura de tela do banco de dados exposto para prova, que verificamos.

Fizemos várias perguntas ao MoviePass – inclusive por que o e-mail inicial que divulgou o lapso de segurança foi ignorado, por quanto tempo o servidor foi exposto e seus planos de divulgar o incidente a clientes e órgãos reguladores do estado.

Quase um dia depois de termos publicado, o MoviePass reconheceu o incidente de segurança em uma declaração padronizada, mas não respondeu às nossas perguntas.

“O MoviePass descobriu recentemente uma vulnerabilidade de segurança que pode ter registros de clientes expostos. Depois de descobrir a vulnerabilidade, imediatamente protegemos nossos sistemas para evitar mais exposição e mitigar o impacto potencial desse incidente ”, disse Lowe. “MoviePass leva este incidente a sério e se dedica a proteger as informações de nossos clientes. Estamos trabalhando diligentemente para investigar o escopo deste incidente e seu impacto potencial em nossos clientes. Assim que obtivermos uma compreensão completa do incidente, notificaremos imediatamente todos os assinantes afetados e os órgãos reguladores ou autoridades competentes. ”

O MoviePass está em uma montanha russa desde que atingiu o público mainstream no ano passado. A empresa cresceu rapidamente sua base de clientes de 1,5 milhão para 2 milhões de clientes em menos de um mês. Mas o MoviePass levou um tombo depois que os críticos disseram cresceu muito rápido, forçando a empresa a deixar de funcionar brevemente após a empresa ficou sem dinheiro. A empresa disse mais tarde foi lucrativo, mas então serviço suspenso, supostamente para trabalhar em seu aplicativo móvel. Agora, diz que "restaurou [serviço] para um número substancial de nossos assinantes atuais".

Vazou dados internos em abril, o número de clientes passou de três milhões de assinantes para cerca de 225 mil. E apenas este mês MoviePass alegadamente alterou as senhas de usuários para dificultar o acesso de clientes que usam o serviço extensivamente.

Hussein disse que a empresa foi negligente ao deixar os dados descriptografados em um banco de dados exposto e acessível.

"Continuamos a ver empresas de todos os tamanhos usando métodos perigosos para manter e processar dados de usuários particulares", disse Hussein ao TechCrunch. "No caso do MoviePass, estamos questionando a razão pela qual as equipes técnicas internas poderiam ver esses dados críticos em texto simples – e muito menos o fato de que o conjunto de dados foi exposto para o acesso público por qualquer pessoa", disse ele.

O pesquisador de segurança disse que encontrou o banco de dados exposto usando suas ferramentas de mapeamento da Web criadas pela empresa, que espiam bancos de dados não protegidos por senhas que estão conectados à Internet e identificam o proprietário. A informação é divulgada de forma privada às empresas, muitas vezes em troca de uma recompensa por bug.

Hussein tem um histórico de encontrar bancos de dados expostos. Nos últimos meses, ele encontrou um dos laboratórios de desenvolvimento da Samsung na internet. Ele também encontrou um banco de dados de backend exposto pertencente a Blind, uma rede social de local de trabalho orientada para o anonimato, expondo dados de usuários privados.

Atualizado com informações adicionais sobre um segundo pesquisador de segurança. Também atualizado com novos dados do RiskIQ que mostra que o banco de dados foi exposto em maio, e não em junho, como havíamos relatado anteriormente, e uma declaração do MoviePass.

Consulte Mais informação:

Fonte: TechCrunch