MoviePass公开了数千个未加密的客户卡号

 
电影票订阅服务MoviePass已经暴露了数以万计的客户卡号和个人信用卡，因为关键服务器没有受密码保护。
总部位于迪拜的网络安全公司SpiderSilk的安全研究员Mossab Hussein在该公司的众多子域名中找到了一个公开的数据库。该数据库庞大，在撰写和实时增长时包含1.61亿条记录。许多记录是用于确保服务运行的正常计算机生成的日志消息 – 但许多还包括敏感的用户信息，例如MoviePass客户卡号。
这些MoviePass客户卡就像普通借记​​卡一样：它们由万事达卡发行并存储现金余额，注册订阅服务的用户可以用来付费观看电影目录。对于每月订阅费，MoviePass使用借记卡来加载电影的全部费用，然后客户用它来支付电影院的电影费用。
我们审核了1,000条记录的样本并删除了重复项。略多于一半包含独特的MoviePass借记卡号码。每张客户卡记录都有MoviePass借记卡号码及其到期日期，卡的余额以及激活时间。
该数据库拥有超过58,000条包含卡数据的记录 – 并且正在逐渐增长。
我们还发现了包含客户个人信用卡号码及其到期日的记录 – 其中包括账单信息，包括姓名和邮政地址。在我们审核的记录中，我们发现了有足够信息进行欺诈性卡片购买的记录。
但是，有些记录包含已被屏蔽的卡号，但最后四位数除外。
该数据库还包含与失败登录尝试相关的电子邮件地址和一些密码数据。我们发现数百条记录包含用户的电子邮件地址，并且可能是错误输入的密码 – 已记录在数据库中。我们通过尝试使用不存在但只有我们知道的电子邮件地址和密码登录应用程序来验证这一点。我们的虚拟电子邮件地址和密码几乎立即出现在数据库中。
数据库中的所有记录均未加密。
Hussain通过电子邮件联系了MoviePass首席执行官Mitch Lowe – TechCrunch已经看到了 – 周末但没有收到回复。仅在TechCrunch周二播出时，MoviePass才使数据库脱机。
根据网络威胁情报公司RiskIQ收集的数据，该数据库可能已暴露数月，该公司于6月底首次发现该系统。
我们向MoviePass提出了几个问题 – 包括为什么披露安全失效的初始电子邮件被忽略，服务器暴露多长时间以及计划向客户和州监管机构披露此事件的原因。到达时，发言人未在截止日期前发表评论。
去年，MoviePass一直是过山车的主流观众。该公司在不到一个月的时间内迅速将其客户群从150万增加到200万。但批评人士表示，电影增长太快，迫使该公司在公司用尽资金后暂停营业，因此电影公司陷入困境。该公司后来表示这是有利可图的，但后来停止服务，据说可以在其移动应用程序上工作。它现在说已经“恢复了[服务]给我们当前的大量用户。”
从4月份泄露的内部数据显示，其客户数量从300万订户增加到约225,000。就在本月，据报道，MoviePass将用户密码更改为广泛使用该服务的客户的跛行访问权限。
侯赛因表示，该公司疏忽将未加密的数据保留在一个暴露的，可访问的数据库中。
“我们继续看到各种规模的公司使用危险的方法来维护和处理私人用户数据，”侯赛因告诉TechCrunch。 “就MoviePass而言，我们质疑为什么允许内部技术团队以明文方式看到这些关键数据的原因 – 更不用说数据集被任何人公开访问的事实，”他说。
安全研究人员说，他使用他公司制造的网络地图工具找到了暴露的数据库，该工具可以查看连接到互联网的非密码保护数据库，并识别所有者。这些信息是私下向公司披露的，通常是为了换取漏洞赏金。
侯赛因有寻找暴露数据库的历史。最近几个月，他发现三星的一个开发实验室暴露在互联网上。他还发现了一个暴露的后端数据库，属于Blind，一个匿名驱动的工作场所社交网络，暴露私人用户数据。