Sorpresa, sorpresa: oltre a un servizio inaffidabile, MoviePass offre anche scarsa sicurezza per i dati dei suoi clienti
MoviePass potrebbe benissimo fungere da prova del fatto che non tutte le buone idee portano al successo. La società è stata fondata circa otto anni fa e il suo piano aziendale si basa su quello che sembra un concetto brillante. Gli abbonati pagano una tariffa mensile fissa e ricevono una speciale carta di debito che può essere utilizzata solo nei cinema che collaborano con MoviePass. Vanno nei cinema suddetti, scelgono il film che vogliono vedere e ;ora dello spettacolo, e la loro carta di debito viene automaticamente riempita con abbastanza soldi per pagare il biglietto. Gli utenti utilizzano la scheda e guardano il film.
In una parola, è Netflix per le persone a cui piace scendere dal divano di tanto in tanto, e per gli spettatori frequenti, è un modo geniale di spendere meno per il loro hobby. Mentre stanno risparmiando denaro, tuttavia, MoviePass lo sta perdendo.
Le preoccupazioni sulla sostenibilità del modello di business di MoviePass sono state sollevate poco dopo che il servizio è stato online e, nel corso degli anni, gli utenti sono stati sottoposti a diverse modifiche nei piani di abbonamento disponibili che avrebbero dovuto migliorare la salute finanziaria del azienda. Nonostante tutto, i bilanci mostrano che MoviePass sta ancora perdendo soldi e anno scorso il servizio è stato temporaneamente sospeso perché la società non aveva soldi per pagare i suoi partner. Più di un anno dopo interruzione, i problemi finanziari sono ancora gravi e il futuro di MoviePass non sembra molto certo. I problemi legati al denaro non dovrebbero essere una scusa per mettere a rischio la privacy degli utenti e, sfortunatamente, un ricercatore di sicurezza di nome Mossab Hussein ha recentemente scoperto che MoviePass ha messo in pericolo le informazioni personali di parecchi abbonati.
MoviePass lascia un server pieno di dati sensibili senza password
Hussein ha scoperto un database su uno dei sottodomini di MoviePass che era accessibile da qualsiasi parte del mondo e non era protetto da una password. Il database, in seguito divenne evidente , fu chiamato "prod" (molto probabilmente, abbreviazione di "produzione"), e venivano costantemente aggiunti nuovi record che indussero Hussein a credere che potesse contenere informazioni reali dei clienti reali di MoviePass. Si è messo in contatto con Zack Whittaker di TechCrunch che ha dato u occhiata e ha cercato di capire quale tipo di dati sono stati esposti.
Il database non protetto conteneva oltre 160 milioni di record e sebbene gran parte di essi fossero costituiti da registri di sistema, erano anche molte informazioni personali. Whittaker prese un campione di 1.000 dischi, ripulì i duplicati e scoprì che circa la metà di ciò che rimaneva consisteva in numeri di carta di debito MoviePass e date di scadenza univoci. Ha anche trovato documenti che contenevano i numeri di carta di credito personali degli abbonati, le date di scadenza, i nomi e le informazioni postali e, poiché si trattava di un database di produzione, nuove voci venivano aggiunte continuamente.
Apparentemente, il server non protetto non memorizzava alcun nome utente e password validi, ma conteneva registri relativi a tentativi di accesso non riusciti. Whittaker ha provato ad accedere con le credenziali sbagliate e pochi secondi dopo, i dettagli che ha inserito sono comparsi nel database. Il fatto che siano stati registrati nomi utente e password errati è alquanto strano. Il fatto che Zack Whittaker potesse vederli è spaventoso.
MoviePass non ha protetto le informazioni in alcun modo
Purtroppo, lasciare un database senza password è un errore piuttosto comune al giorno oggi. Le conseguenze sono spesso piuttosto devastanti, ma nel caso di MoviePass, il potenziale danno avrebbe potuto essere limitato da alcuni meccanismi di sicurezza di base. Purtroppo, quei meccanismi non sono stati implementati.
Se assumiamo che la registrazione delle password non valide inserite dagli utenti sia una buona decisione (una questione controversa in sé), la società che lo fa deve pensare di archiviare questi dettagli in modo sicuro. Come abbiamo detto più volte , unico modo veramente sicuro per archiviare le password è hash . MoviePass, tuttavia, ha deciso di archiviare le credenziali errate in testo in chiaro.
Nulla era stato fatto per proteggere le carte di credito e di debito degli abbonati. In effetti, una piccola parte dei record conteneva solo le ultime quattro cifre delle carte, ma nella maggior parte dei casi, tutte le informazioni erano disponibili per la presa. Non è noto se qualcuno sia riuscito a raggiungerlo prima di Saddam Hussein, ma nel suo rapporto, Zack Whittaker ha affermato che, secondo la società di intelligence di cyber-minaccia RiskIQ, il database è stato online per almeno due mesi. Il reporter di TechCrunch ha chiesto a MoviePass di confermarlo o negarlo, ma non ha ricevuto risposta.
La reazione generale della società al incidente è stata tut altro che ideale. Mossab Hussein fu il primo a cercare di rivelare il problema. A causa della natura delicata delle informazioni trapelate, ha scritto u e-mail direttamente a Mitch Lowe, CEO di MoviePass durante il fine settimana, ma non ha mai ricevuto risposta. Dopo che Zack Whittaker ha raggiunto, il database è stato tranquillamente messo offline, ma la società ha deciso di non rilasciare una dichiarazione ufficiale e divulgare alcuni dettagli importanti intorno alla perdita come la natura esatta delle informazioni esposte, il numero di utenti interessati e che tipo di le precauzioni impediranno che incidenti simili si verifichino in futuro. Tutte queste cose rimangono sconosciute per ora, il che significa che ogni singolo abbonato MoviePass dovrebbe tenere occhio i propri estratti conto bancari e agire rapidamente se individuano qualcosa di sospetto.
