驚喜,驚喜:除了不可靠的服務外,MoviePass還為其客戶的數據提供了較差的安全性

MoviePass Data Leak

MoviePass可以很好地證明並非每個好主意都能帶來成功。該公司成立於大約八年前,其業務計劃基於一個聽起來很棒的概念。訂閱者每月支付固定費用,並獲得一張特殊的借記卡,只能在與MoviePass合作的電影院使用。他們去看電影院,挑選他們想看的電影和播放時間,他們的借記卡會自動補充足夠的錢來支付門票。用戶使用該卡並觀看電影。

總之,對於那些不時喜歡下沙發的人來說,這是Netflix,對於頻繁的電影觀眾來說,這是一種少花錢的好方法。然而,雖然他們在省錢,但MoviePass正在失去它。

關於MoviePass商業模式可持續性的擔憂最初是在服務上線後不久提出的,多年來,用戶在可用的訂閱計劃中進行了一些改變,這些改變本來可以改善公司的財務狀況。儘管如此,資產負債表顯示MoviePass仍在虧損,而去年該服務甚至暫時停止,因為該公司沒有錢支付其合作夥伴。停電一年多後,財務困境仍然嚴重,而MoviePass的未來看起來並不十分確定。然而,與現金相關的問題不應成為將用戶隱私置於風險之中的藉口,不幸的是,一位名叫Mossab Hussein的安全研究人員最近發現,MoviePass已經危及不少訂戶的個人信息。

MoviePass在沒有密碼的情況下留下了一個充滿敏感數據的服務器

Hussein在MoviePass的一個子域中發現了一個數據庫,該數據庫可以從世界上任何地方訪問,並且不受密碼保護。後來變得顯而易見的是 ,數據庫被稱為“prod”(最有可能是“生產”的縮寫),並且不斷添加新的記錄使Hussein相信它可以包含真實的MoviePass客戶的真實信息。他與TechCrunch的Zack Whittaker 取得了聯繫,他看了一下並試圖弄清楚暴露了什麼類型的數據。

不安全的數據庫包含超過1.6億條記錄,雖然其中很大一部分由系統日誌組成,但也有大量的個人信息。 Whittaker採集了1,000條記錄樣本,清理了重複記錄,發現大約一半的內容包括獨特的MoviePass借記卡號碼和到期日期。他還發現了記錄用戶的個人信用卡號,有效期,姓名和郵政信息,並且因為它是一個生產數據庫,所以新的條目一直在增加。

顯然,未受保護的服務器沒有存儲任何有效的用戶名和密碼,但它確實包含與登錄嘗試失敗相關的日誌。 Whittaker嘗試使用錯誤的憑據登錄,幾秒鐘後,他輸入的詳細信息出現在數據庫中。記錄錯誤的用戶名和密碼的事實有點奇怪. Zack Whittaker可以看到他們的事實是可怕的。

MoviePass沒有以任何方式保護信息

不幸的是,現在沒有密碼的數據庫是一個相當常見的錯誤 。後果往往是非常具有破壞性的,但就MoviePass而言,潛在的破壞可能受到一些基本安全機制的限制。可悲的是,這些機制沒有得到實施。

如果我們假設記錄用戶輸入的無效密碼是一個很好的決定(這本身就是一個有爭議的問題),那麼這樣做的公司必須考慮以安全的方式存儲這些細節。正如我們一再說的那樣,存儲密碼的唯一真正安全的方法是對它們進行散列 。然而,MoviePass決定將錯誤輸入的憑證存儲在明文中。

沒有採取任何措施來保護用戶的信用卡和借記卡。實際上,一小部分記錄只保留了卡的最後四位數,但在大多數情況下,所有信息都可用於拍攝。不知道是否有人在侯賽因之前設法達到它,但在他的報告中,Zack Whittaker說根據網絡威脅情報公司RiskIQ,該數據庫在線至少兩個月。 TechCrunch的記者要求MoviePass確認或否認這一點,但沒有得到回應。

該公司對事件的總體反應遠非理想。 Mossab Hussein是第一個試圖揭露問題的人。由於洩露信息的敏感性,他在周末直接向MoviePass首席執行官Mitch Lowe寫了一封電子郵件,但他從未收到過回复。在Zack Whittaker伸出手之後,數據庫被悄然脫機,但該公司決定不發布官方聲明,並披露一些關於洩密的重要細節,如暴露信息的確切性質,受影響用戶的數量以及什麼類型的預防措施將阻止將來發生類似事件。所有這些事情目前仍然未知,這意味著每個MoviePass用戶都應密切關注他們的銀行對賬單,如果發現可疑的話,應迅速採取行動。

August 21, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
5 + 10是什麼?