0
0
Mossab Hussein, pesquisador de segurança da firma de segurança cibernética SpiderSilk, de Dubai, encontrou um banco de dados exposto em um dos muitos subdomínios da empresa. O banco de dados foi enorme, contendo 161 milhões de registros no momento da escrita e crescendo em tempo real. Muitos dos registros eram mensagens normais de registro geradas por computador, usadas para garantir a execução do serviço – mas muitas também incluíam informações confidenciais do usuário, como os números de cartão do cliente MoviePass.
Esses cartões de cliente do MoviePass são como os cartões de débito normais: eles são emitidos pela Mastercard e armazenam um saldo em dinheiro, que os usuários que assinam o serviço de assinatura podem usar para pagar para assistir a um catálogo de filmes. Por uma taxa de assinatura mensal, o MoviePass usa o cartão de débito para carregar o custo total do filme, que o cliente usa para pagar o filme no cinema.
Analisamos uma amostra de 1.000 registros e removemos as duplicatas. Um pouco mais da metade continha números de cartão de débito exclusivos do MoviePass. Cada registro de cartão de cliente tinha o número do cartão de débito MoviePass e sua data de validade, o saldo do cartão e quando ele foi ativado.
O banco de dados continha mais de 58.000 registros contendo dados de cartões – e crescia a cada minuto.
Também encontramos registros contendo números de cartão de crédito pessoal de clientes e sua data de expiração, que incluíam informações de faturamento, incluindo nomes e endereços postais. Entre os registros que analisamos, encontramos registros com informações suficientes para fazer compras fraudulentas com cartão.
Alguns registros, no entanto, continham números de cartões que foram mascarados, exceto pelos últimos quatro dígitos.
O banco de dados também continha endereço de e-mail e alguns dados de senha relacionados a tentativas de login com falha. Encontramos centenas de registros contendo endereços de e-mail de usuários e presumivelmente senhas incorretamente digitadas – que estavam registradas – no banco de dados. Verificamos isso ao tentar fazer login no aplicativo com um endereço de e-mail e uma senha que não existiam, mas sabíamos apenas. Nosso endereço de e-mail fictício e senha apareceram no banco de dados quase imediatamente.
Nenhum dos registros no banco de dados foi criptografado.
Hussain contatou o diretor executivo do MoviePass, Mitch Lowe, por e-mail – que o TechCrunch viu – no fim de semana, mas não recebeu resposta. Foi somente depois que o TechCrunch chegou na terça-feira, quando o MoviePass colocou o banco de dados offline.
Entende-se que o banco de dados pode ter sido exposto por meses, de acordo com dados coletados pela empresa de inteligência de risco cibernético RiskIQ, que detectou o sistema pela primeira vez no final de junho.
Fizemos várias perguntas ao MoviePass – inclusive por que o e-mail inicial que divulgou o lapso de segurança foi ignorado, por quanto tempo o servidor foi exposto e seus planos de divulgar o incidente a clientes e órgãos reguladores do estado. Quando alcançado, um porta-voz não comentou em nosso prazo.
O MoviePass está em uma montanha russa desde que atingiu o público principal no ano passado. A empresa cresceu rapidamente sua base de clientes de 1,5 milhão para 2 milhões de clientes em menos de um mês. Mas o MoviePass sofreu uma queda depois que os críticos disseram que a empresa cresceu rápido demais, forçando a empresa a interromper a operação brevemente depois que a empresa ficou sem dinheiro. A empresa disse mais tarde que era rentável, mas suspendeu o serviço, supostamente para trabalhar em seu aplicativo móvel. Agora ele diz que “restaurou [o serviço] para um número substancial de nossos assinantes atuais”.
Dados internos vazados de abril disseram que o número de clientes passou de três milhões de assinantes para cerca de 225 mil. E só neste mês o MoviePass mudou as senhas dos usuários para prejudicar o acesso de clientes que usam o serviço extensivamente.
Hussein disse que a empresa foi negligente ao deixar os dados descriptografados em um banco de dados exposto e acessível.
“Continuamos a ver empresas de todos os tamanhos usando métodos perigosos para manter e processar dados de usuários particulares”, disse Hussein ao TechCrunch. “No caso do MoviePass, estamos questionando a razão pela qual as equipes técnicas internas poderiam ver esses dados críticos em texto simples – e muito menos o fato de que o conjunto de dados foi exposto para o acesso público por qualquer pessoa”, disse ele.
O pesquisador de segurança disse que encontrou o banco de dados exposto usando suas ferramentas de mapeamento da Web criadas pela empresa, que espiam bancos de dados não protegidos por senhas que estão conectados à Internet e identificam o proprietário. A informação é divulgada de forma privada às empresas, muitas vezes em troca de uma recompensa por bug.
Hussein tem um histórico de encontrar bancos de dados expostos. Nos últimos meses, ele encontrou um dos laboratórios de desenvolvimento da Samsung expostos na internet. Ele também encontrou um banco de dados de backend exposto pertencente a Blind, uma rede social de local de trabalho orientada ao anonimato, expondo dados de usuários privados.
FONTE: https://techcrunch.com/2019/08/20/moviepass-thousands-data-exposed-leak/