Surprise, surprise: Outre un service peu fiable, MoviePass offre également une sécurité médiocre pour les données de ses clients.

MoviePass Data Leak

MoviePass pourrait très bien servir de preuve que toutes les bonnes idées ne mènent pas au succès. La société a été fondée il y a environ huit ans et son plan affaires repose sur ce qui semble être un concept brillant. Les abonnés paient un forfait mensuel et reçoivent une carte de débit spéciale qui ne peut être utilisée que dans les cinémas partenaires de MoviePass. Ils vont aux dits cinémas, choisissent le film q ils veulent voir et heure du spectacle, et leur carte de débit est automatiquement réapprovisionnée avec suffisamment argent pour payer le billet. Les utilisateurs utilisent la carte et regardent le film.

En un mot, c’est Netflix pour les gens qui aiment se lever de temps en temps, et pour les cinéphiles fréquents, c’est une excellente façon de dépenser moins pour leur passe-temps. Cependant, alors q ils économisent de argent, MoviePass le perd.

Les préoccupations concernant la durabilité du modèle commercial de MoviePass ont abord été soulevées peu de temps après la mise en ligne du service. Au fil des années, les utilisateurs ont subi plusieurs modifications des plans de souscription disponibles, censées améliorer la santé financière de entreprise. Malgré tout, les bilans montrent que MoviePass perd toujours de l’argent. L’année dernière, le service a même été temporairement arrêté car la société n’avait pas d’argent pour payer ses partenaires. Plus un an après la panne, les difficultés financières sont toujours graves et avenir de MoviePass est pas très certain. Les problèmes liés aux paiements en espèces ne devraient pas constituer une excuse pour mettre en péril la vie privée des utilisateurs. Malheureusement, un chercheur en sécurité du nom de Mossab Hussein a récemment découvert que MoviePass avait mis en danger les informations personnelles de nombreux abonnés.

MoviePass laisse un serveur rempli de données sensibles sans mot de passe

Hussein a découvert une base de données sur un des sous-domaines de MoviePass, accessible de partout dans le monde et non protégée par un mot de passe. La base de données, il est devenu évident par la suite , appelait "prod" (le plus probable, abréviation de "production"), et de nouveaux enregistrements étaient ajoutés constamment, ce qui laissait à Saddam Hussein le risque de contenir des informations réelles sur de vrais clients de MoviePass. Il a contacté Zack Whittaker, de TechCrunch, qui a jeté un coup œil et a essayé de déterminer le type de données exposées.

La base de données non sécurisée contenait plus de 160 millions enregistrements, et même si une grande partie entre eux consistait en des journaux système, les informations personnelles étaient également nombreuses. Whittaker a prélevé un échantillon de 1 000 enregistrements, a nettoyé les doublons et a découvert q environ la moitié de ce qui restait consistait en numéros de cartes de débit MoviePass uniques et en dates expiration. Il a également découvert des enregistrements contenant les numéros de cartes de crédit personnelles, les dates expiration, les noms et les informations postales des abonnés. Comme il agissait une base de données sur la production, de nouvelles entrées étaient ajoutées en permanence.

Apparemment, le serveur non protégé ne stockait aucun nom utilisateur ni mot de passe valides, mais il contenait des journaux liés à des tentatives de connexion infructueuses. Whittaker a essayé de se connecter avec de mauvaises identifiants et quelques secondes plus tard, les détails q il a entrés sont apparus dans la base de données. Le fait que de mauvais noms utilisateur et mots de passe aient été enregistrés est quelque peu étrange. Le fait que Zack Whittaker puisse les voir fait peur.

MoviePass a aucunement protégé les informations

Malheureusement, laisser une base de données sans mot de passe est une erreur plutôt courante de nos jours. Les conséquences sont souvent assez dévastatrices, mais dans le cas de MoviePass, les dommages potentiels auraient pu être limités par certains mécanismes de sécurité élémentaires. Malheureusement, ces mécanismes ont pas été mis en place.

Si nous supposons que enregistrement des mots de passe non valides saisis par les utilisateurs est une bonne décision (une question controversée en soi), entreprise qui le fait doit envisager de stocker ces informations de manière sécurisée. Comme nous l’avons répété maintes et maintes fois , le seul moyen réellement sûr de stocker les mots de passe est de les hacher . Cependant, MoviePass a décidé de stocker les informations d’identification mal orthographiées en texte brut.

Rien avait été fait pour protéger les cartes de crédit et de débit des abonnés. En effet, une petite partie des enregistrements ne contenait que les quatre derniers chiffres des cartes, mais dans la plupart des cas, toutes les informations étaient disponibles pour la prise. On ne sait pas si quelq un a réussi à le faire avant Saddam Hussein, mais dans son rapport, Zack Whittaker a déclaré que, selon la société de renseignement sur la cybernétique, RiskIQ, la base de données était en ligne depuis au moins deux mois. Le journaliste de TechCrunch a demandé à MoviePass de confirmer ou infirmer cela, mais a reçu aucune réponse.

La réaction générale de entreprise à incident était loin être idéale. Mossab Hussein a été le premier à tenter de révéler le problème. En raison de la nature délicate des informations divulguées, il a adressé un courrier électronique directement à Mitch Lowe, PDG de MoviePass au cours du week-end, mais il a jamais eu de réponse. Après que Zack Whittaker ait contacté la base de données, la base de données a été discrètement mise hors ligne, mais la société a décidé de ne pas publier de déclaration officielle et de divulguer certains détails importants concernant la fuite, telles que la nature exacte des informations exposées, le nombre utilisateurs affectés et le type de données. des précautions empêcheront des incidents similaires de se produire à avenir. Toutes ces choses restent inconnues pour le moment, ce qui signifie que chaque abonné de MoviePass doit surveiller de près ses relevés bancaires et agir rapidement il détecte quelque chose de suspect.

August 21, 2019
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.