Surpresa, Surpresa: Além de um serviço não confiável, o MoviePass também oferece pouca segurança para os dados de seus clientes

O MoviePass poderia muito bem atuar como prova de que nem toda boa ideia leva ao sucesso. A empresa foi fundada há cerca de oito anos e seu plano de negócios é baseado no que parece ser um conceito brilhante. Os assinantes pagam uma taxa mensal fixa e recebem um cartão de débito especial que só pode ser usado em cinemas que fazem parceria com o MoviePass. Eles vão aos cinemas, escolhem o filme que querem assistir e o horário do show, e o cartão de débito é automaticamente reabastecido com dinheiro suficiente para pagar o ingresso. Os usuários usam o cartão e assistem ao filme.

Em uma palavra, é Netflix para pessoas que gostam de sair do sofá de vez em quando, e para freqüentadores freqüentes, é uma maneira brilhante de gastar menos em seu hobby. Enquanto eles estão economizando dinheiro, no entanto, o MoviePass está perdendo isso.

Preocupações sobre a sustentabilidade do modelo de negócios do MoviePass foram levantadas logo após o serviço estar on-line e, ao longo dos anos, os usuários passaram por várias mudanças nos planos de assinatura disponíveis, que deveriam melhorar a saúde financeira da empresa. Apesar de tudo isso, os balanços mostram que o MoviePass ainda está perdendo dinheiro, e no ano passado, o serviço foi interrompido temporariamente porque a empresa não tinha dinheiro para pagar seus parceiros. Mais de um ano após a paralisação, os problemas financeiros ainda são sérios, e o futuro da MoviePass não parece muito certo. Problemas relacionados a dinheiro não devem ser uma desculpa para colocar em risco a privacidade dos usuários, e infelizmente, um pesquisador de segurança chamado Mossab Hussein descobriu recentemente que o MoviePass colocou em risco as informações pessoais de alguns assinantes.

MoviePass deixa um servidor cheio de dados confidenciais sem uma senha

Hussein descobriu um banco de dados em um dos subdomínios do MoviePass que era acessível de qualquer lugar do mundo e não estava protegido por uma senha. O banco de dados, mais tarde ficou aparente , foi chamado de "prod" (provavelmente, abreviação de "produção"), e novos registros foram sendo adicionados constantemente, o que levou Hussein a acreditar que poderia conter informações reais de clientes reais do MoviePass. Ele entrou em contato com Zack Whittaker, do TechCrunch, que deu uma olhada e tentou descobrir que tipo de dados estava exposto.

O banco de dados não protegido continha mais de 160 milhões de registros e, embora uma grande parte deles consistisse em registros do sistema, havia muitas informações pessoais também. Whittaker pegou uma amostra de 1.000 registros, limpou as duplicatas e descobriu que cerca de metade do que restava consistia em números de cartão de débito e datas de expiração exclusivos do MoviePass. Ele também encontrou registros que continham números de cartão de crédito pessoal, datas de validade, nomes e informações postais dos assinantes, e como era um banco de dados de produção, novas entradas eram adicionadas o tempo todo.

Aparentemente, o servidor desprotegido não armazenava nomes de usuário e senhas válidos, mas continha registros relacionados a tentativas de login malsucedidas. O Whittaker tentou fazer login com as credenciais erradas e, segundos depois, os detalhes que ele inseriu apareceram no banco de dados. O fato de nomes de usuários e senhas errados terem sido registrados é um tanto estranho. O fato de Zack Whittaker poder vê-los é assustador.

O MoviePass não protegeu as informações de forma alguma

Infelizmente, deixar um banco de dados sem uma senha é um erro bastante comum hoje em dia. As consequências são muitas vezes bastante devastadoras, mas no caso do MoviePass, o dano potencial poderia ter sido limitado por alguns mecanismos básicos de segurança. Infelizmente, esses mecanismos não foram implementados.

Se assumirmos que registrar as senhas inválidas inseridas pelos usuários é uma boa decisão (uma questão controversa em si), a empresa que faz isso deve pensar em armazenar esses detalhes de maneira segura. Como já dissemos várias vezes , a única maneira realmente segura de armazenar senhas é codificando-as . O MoviePass, no entanto, decidiu armazenar as credenciais digitadas incorretamente em texto simples.

Nada havia sido feito para proteger também os cartões de crédito e débito dos assinantes. De fato, uma pequena parte dos registros continha apenas os últimos quatro dígitos dos cartões, mas na maioria dos casos, todas as informações estavam disponíveis para serem obtidas. Não se sabe se alguém conseguiu chegar a ele antes de Hussein, mas em seu relatório, Zack Whittaker disse que, de acordo com a firma de inteligência sobre ameaças cibernéticas RiskIQ, o banco de dados estava online há pelo menos dois meses. O repórter do TechCrunch pediu ao MoviePass para confirmar ou negar isso, mas não recebeu resposta.

A reação geral da empresa ao incidente estava longe do ideal. Mossab Hussein foi o primeiro a tentar divulgar o problema. Devido à natureza sensível da informação que vazou, ele escreveu um e-mail diretamente para Mitch Lowe, CEO da MoviePass no fim de semana, mas ele nunca ouviu falar. Depois que Zack Whittaker entrou em contato, o banco de dados foi colocado offline, mas a empresa decidiu não emitir um comunicado oficial e revelar alguns detalhes importantes sobre o vazamento, como a natureza exata da informação exposta, o número de usuários afetados e o tipo de precauções impedirão que incidentes similares ocorram no futuro. Todas essas coisas permanecem desconhecidas por enquanto, o que significa que cada assinante do MoviePass deve ficar de olho em seus extratos bancários e agir rapidamente se detectar algo suspeito.