Überraschung, Überraschung: Zusätzlich zu einem unzuverlässigen Service bietet MoviePass auch eine schlechte Sicherheit für die Daten seiner Kunden

MoviePass Data Leak

MoviePass könnte durchaus beweisen, dass nicht jede gute Idee zum Erfolg führt. Das Unternehmen wurde vor ungefähr acht Jahren gegründet und sein Geschäftsplan basiert auf dem, was nach einem brillanten Konzept klingt. Abonnenten zahlen eine monatliche Pauschalgebühr und erhalten eine spezielle Debitkarte, die nur in Kinos verwendet werden kann, die Partner von MoviePass sind. Sie gehen in die genannten Kinos, wählen den gewünschten Film und die Vorführzeit aus, und ihre Debitkarte wird automatisch mit genügend Geld aufgefüllt, um das Ticket zu bezahlen. Die Benutzer verwenden die Karte und schauen sich den Film an.

Kurz gesagt, es ist Netflix für Leute, die von Zeit zu Zeit von der Couch aufstehen möchten, und für häufige Kinobesucher ist es eine hervorragende Möglichkeit, weniger für ihr Hobby auszugeben. Während sie Geld sparen, verliert MoviePass es.

Die Bedenken hinsichtlich der Nachhaltigkeit des Geschäftsmodells von MoviePass wurden zum ersten Mal kurz nach dem Start des Dienstes geäußert. Im Laufe der Jahre wurden die verfügbaren Abonnement-Tarife mehrfach geändert, um die finanzielle Gesundheit des Unternehmens zu verbessern. Trotz alledem zeigen die Bilanzen, dass MoviePass immer noch Geld verliert, und im vergangenen Jahr wurde der Service sogar vorübergehend eingestellt, weil das Unternehmen kein Geld hatte, um seine Partner zu bezahlen. Mehr als ein Jahr nach dem Ausfall sind die finanziellen Probleme immer noch ernst und die Zukunft von MoviePass sieht nicht sehr sicher aus. Bargeldprobleme sollten jedoch keine Entschuldigung sein, um die Privatsphäre der Benutzer zu gefährden. Unglücklicherweise hat ein Sicherheitsforscher namens Mossab Hussein kürzlich festgestellt, dass MoviePass die persönlichen Informationen einiger Abonnenten gefährdet hat.

MoviePass hinterlässt einen Server mit vertraulichen Daten ohne Kennwort

Hussein entdeckte eine Datenbank in einer der MoviePass-Subdomains, auf die von überall auf der Welt zugegriffen werden kann und die nicht durch ein Kennwort geschützt ist. Wie sich später herausstellte , hieß die Datenbank "prod" (höchstwahrscheinlich kurz für "production"), und es wurden ständig neue Datensätze hinzugefügt, die Hussein zu der Annahme veranlassten, dass sie echte Informationen über echte MoviePass-Kunden enthalten könnten. Er setzte sich mit Zack Whittaker von TechCrunch in Verbindung, der einen Blick darauf warf und herauszufinden versuchte, welche Art von Daten verfügbar waren.

Die ungesicherte Datenbank enthielt mehr als 160 Millionen Datensätze, und obwohl ein großer Teil davon aus Systemprotokollen bestand, gab es auch viele persönliche Informationen. Whittaker nahm eine Stichprobe von 1.000 Datensätzen, säuberte die Duplikate und stellte fest, dass etwa die Hälfte der verbleibenden Daten aus eindeutigen MoviePass-Debitkartennummern und Ablaufdaten bestand. Er fand auch Aufzeichnungen, in denen die persönlichen Kreditkartennummern, Verfallsdaten, Namen und Postinformationen der Abonnenten gespeichert waren, und da es sich um eine Produktionsdatenbank handelte, wurden ständig neue Einträge hinzugefügt.

Anscheinend hat der ungeschützte Server keine gültigen Benutzernamen und Kennwörter gespeichert, aber er enthielt Protokolle zu fehlgeschlagenen Anmeldeversuchen. Whittaker versuchte, sich mit den falschen Anmeldeinformationen anzumelden, und Sekunden später wurden die von ihm eingegebenen Daten in der Datenbank angezeigt. Die Tatsache, dass falsche Benutzernamen und Passwörter protokolliert wurden, ist etwas seltsam. Die Tatsache, dass Zack Whittaker sie sehen konnte, ist beängstigend.

MoviePass hat die Informationen in keiner Weise geschützt

Leider ist das Verlassen einer Datenbank ohne Passwort heutzutage ein häufiger Fehler . Die Folgen sind oft verheerend, aber im Falle von MoviePass hätte der potenzielle Schaden durch einige grundlegende Sicherheitsmechanismen begrenzt werden können. Leider wurden diese Mechanismen nicht implementiert.

Wenn wir davon ausgehen, dass das Aufzeichnen der von Benutzern eingegebenen ungültigen Passwörter eine gute Entscheidung ist (eine umstrittene Frage an sich), muss das Unternehmen, das dies tut, über eine sichere Speicherung dieser Daten nachdenken. Wie wir immer wieder gesagt haben, besteht die einzig wirklich sichere Möglichkeit zum Speichern von Passwörtern darin, diese zu hacken . MoviePass entschied sich jedoch, die falsch eingegebenen Anmeldeinformationen im Klartext zu speichern.

Es wurde auch nichts unternommen, um die Kredit- und Debitkarten der Abonnenten zu schützen. In der Tat enthielt ein kleiner Teil der Aufzeichnungen nur die letzten vier Ziffern der Karten, aber in den meisten Fällen standen alle Informationen für die Aufnahme zur Verfügung. Es ist nicht bekannt, ob es irgendjemand geschafft hat, vor Hussein darauf zuzugreifen, aber in seinem Bericht sagte Zack Whittaker, dass die Datenbank laut dem Cyberthreat-Geheimdienst RiskIQ mindestens zwei Monate online war. Der Reporter von TechCrunch bat MoviePass, dies zu bestätigen oder abzulehnen, erhielt jedoch keine Antwort.

Die Reaktion des Unternehmens auf den Vorfall war alles andere als ideal. Mossab Hussein war der erste, der versuchte, das Problem aufzudecken. Aufgrund des sensiblen Charakters der durchgesickerten Informationen schrieb er über das Wochenende eine E-Mail direkt an Mitch Lowe, den CEO von MoviePass, aber er hörte nie etwas davon. Nachdem Zack Whittaker Kontakt aufgenommen hatte, wurde die Datenbank stillschweigend offline geschaltet, aber das Unternehmen beschloss, keine offizielle Erklärung abzugeben und einige wichtige Details in Bezug auf das Leck offenzulegen, wie die genaue Art der offengelegten Informationen, die Anzahl der betroffenen Benutzer und welche Art von Informationen Vorsichtsmaßnahmen verhindern, dass sich in Zukunft ähnliche Vorfälle ereignen. All diese Dinge sind vorerst unbekannt, was bedeutet, dass jeder einzelne MoviePass-Abonnent seine Kontoauszüge im Auge behalten und schnell handeln sollte, wenn er etwas Verdächtiges entdeckt.

August 21, 2019
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.