Sorpresa, sorpresa: además de un servicio poco confiable, MoviePass también ofrece poca seguridad para los datos de sus clientes

MoviePass podría muy bien actuar como prueba de que no todas las buenas ideas conducen al éxito. La compañía fue fundada hace unos ocho años, y su plan de negocios se basa en lo que parece un concepto brillante. Los suscriptores pagan una tarifa mensual fija y reciben una tarjeta de débito especial que solo se puede usar en los cines asociados con MoviePass. Van a dichos cines, escogen la película que quieren ver y la hora del espectáculo, y su tarjeta de débito se repone automáticamente con suficiente dinero para pagar el boleto. Los usuarios usan la tarjeta y miran la película.

En una palabra, es Netflix para las personas a las que les gusta levantarse del sofá de vez en cuando, y para los espectadores frecuentes, es una forma brillante de gastar menos en su pasatiempo. Sin embargo, mientras ahorran dinero, MoviePass lo pierde.

Las preocupaciones sobre la sostenibilidad del modelo comercial de MoviePass surgieron por primera vez poco después de que el servicio se puso en línea, y a lo largo de los años, los usuarios experimentaron varios cambios en los planes de suscripción disponibles que supuestamente mejorarían la salud financiera de la compañía. A pesar de todo esto, los balances muestran que MoviePass todavía está perdiendo dinero, y el año pasado, el servicio incluso se detuvo temporalmente porque la compañía no tenía dinero para pagar a sus socios. Más de un año después de la interrupción, los problemas financieros siguen siendo graves, y el futuro de MoviePass no parece muy seguro. Sin embargo, los problemas relacionados con el efectivo no deberían ser una excusa para poner en riesgo la privacidad de los usuarios, y desafortunadamente, un investigador de seguridad con el nombre de Mossab Hussein descubrió recientemente que MoviePass ha puesto en peligro la información personal de unos pocos suscriptores.

MoviePass deja un servidor lleno de datos confidenciales sin contraseña

Hussein descubrió una base de datos en uno de los subdominios de MoviePass que era accesible desde cualquier parte del mundo y no estaba protegida por una contraseña. La base de datos, luego se hizo evidente , se llamaba "prod" (muy probablemente, abreviatura de "producción"), y constantemente se agregaban nuevos registros que hicieron que Hussein creyera que podía contener información real de clientes reales de MoviePass. Se puso en contacto con Zack Whittaker de TechCrunch, quien echó un vistazo y trató de averiguar qué tipo de datos estaban expuestos.

La base de datos no segura contenía más de 160 millones de registros, y aunque una gran parte de ellos consistía en registros del sistema, también había mucha información personal. Whittaker tomó una muestra de 1,000 registros, limpió los duplicados y descubrió que aproximadamente la mitad de lo que quedaba consistía en números únicos de tarjetas de débito MoviePass y fechas de vencimiento. También encontró registros que contenían los números de tarjeta de crédito personal de los suscriptores, fechas de vencimiento, nombres e información postal, y debido a que era una base de datos de producción, se agregaban nuevas entradas todo el tiempo.

Aparentemente, el servidor desprotegido no almacenaba nombres de usuario y contraseñas válidos, pero contenía registros relacionados con intentos fallidos de inicio de sesión. Whittaker intentó iniciar sesión con las credenciales incorrectas, y segundos después, los detalles que ingresó aparecieron en la base de datos. El hecho de que se hayan registrado nombres de usuario y contraseñas incorrectos es algo extraño. El hecho de que Zack Whittaker pudiera verlos es aterrador.

MoviePass no protegió la información de ninguna manera

Desafortunadamente, dejar una base de datos sin contraseña es un error bastante común hoy en día. Las consecuencias son a menudo bastante devastadoras, pero en el caso de MoviePass, el daño potencial podría haber sido limitado por algunos mecanismos básicos de seguridad. Lamentablemente, esos mecanismos no fueron implementados.

Si suponemos que registrar las contraseñas no válidas que ingresan los usuarios es una buena decisión (una cuestión controvertida en sí misma), la empresa que lo haga debe pensar en almacenar estos datos de manera segura. Como hemos dicho una y otra vez , la única forma realmente segura de almacenar contraseñas es mediante hash . MoviePass, sin embargo, decidió almacenar las credenciales mal escritas en texto sin formato.

Tampoco se había hecho nada para proteger las tarjetas de crédito y débito de los suscriptores. De hecho, una pequeña porción de los registros contenía solo los últimos cuatro dígitos de las tarjetas, pero en la mayoría de los casos, toda la información estaba disponible para su toma. Se desconoce si alguien logró llegar antes que Hussein, pero en su informe, Zack Whittaker dijo que según la firma de inteligencia de amenazas cibernéticas RiskIQ, la base de datos estuvo en línea durante al menos dos meses. El reportero de TechCrunch le pidió a MoviePass que confirmara o negara esto, pero no recibió respuesta.

La reacción general de la compañía al incidente estuvo lejos de ser ideal. Mossab Hussein fue el primero en intentar revelar el problema. Debido a la naturaleza sensible de la información filtrada, escribió un correo electrónico directamente a Mitch Lowe, CEO de MoviePass durante el fin de semana, pero nunca recibió respuesta. Después de que Zack Whittaker se comunicó, la base de datos se desconectó silenciosamente, pero la compañía decidió no emitir una declaración oficial y revelar algunos detalles importantes sobre la fuga, como la naturaleza exacta de la información expuesta, el número de usuarios afectados y qué tipo de Las precauciones evitarán que ocurran incidentes similares en el futuro. Todas estas cosas permanecen desconocidas por ahora, lo que significa que cada suscriptor de MoviePass debe vigilar de cerca sus extractos bancarios y actuar rápidamente si detectan algo sospechoso.