MoviePass jaunākais klupiens: lietotāju kredītkaršu numuru un citu datu atklāšana
Filma caurlaide
Darron Cummings / AP / REX / Shutterstock
Jaunākajā MoviePass lejupejošās spirāles laikā drošības pētnieks ir atklājis, ka filmas abonēšanas pakalpojums vairākus mēnešus bija atstājis datu bāzi ar atklātajiem lietotāju datiem, ieskaitot kredītkaršu numurus - tas viss tāpēc, ka viens no uzņēmuma serveriem nebija aizsargāts ar paroli.
TechCruch ziņoja, ka pētnieks vienā no uzņēmuma apakšdomēniem atrada nenodrošinātu datu bāzi ar miljoniem ierakstu, kas ietvēra MoviePass karšu numurus, kā arī personiskos kredītkaršu numurus un ar tiem saistītos derīguma termiņus, vārdus un adreses. Dažos ierakstos bija pietiekami daudz informācijas krāpniecisku karšu iegādei.
Nešifrēta datu bāze arī parādīja, ka tiek reģistrēti neveiksmīgi pieteikšanās mēģinājumi, reģistrējot e-pasta adreses blakus neveiksmīgām parolēm, ziņo vietne.
Uzņēmuma atbilde ir atstājusi daudz vēlama.
Dubajā bāzētās kiberdrošības firmas SpiderSilk pētnieks Mossabs Huseins pagājušajā nedēļas nogalē pēc datubāzes atklāšanas pa e-pastu nosūtīja MoviePass izpilddirektoram Mičam Lovam - viņš nesaņēma atbildi.
Cits pētnieks pastāstīja TechCrunch, ka arī viņš ir atklājis datu bāzi un sazinājies ar MoviePass. Viņš nesaņēma atbildi, un datu bāze vairākus mēnešus bija izveidota.
MoviePass izmantoja datu bāzi bezsaistē tikai pēc tam, kad TechCrunch otrdien uzrunāja komentārus, liecina vietne. Bet pagāja gandrīz diena pēc tam, kad stāsts pirmo reizi tika publicēts, lai saņemtu komentāru, atbildot uz to.
Mums beidzot ir @MoviePass paziņojums! Tas ilga tikai 28 stundas. Tas neatbild uz nevienu no mūsu jautājumiem. Es ceru, ka juristi bija tā vērti.
Šis ir mans atjauninātais stāsts: https://t.co/W9ww2D13pN pic.twitter.com/9msSrcalBk
- Zaks Vitakers (@zackwhittaker), 2019. gada 21. augusts
Saņemts komentārs, uzņēmuma pārstāve nosūtīja IndieWire tādu pašu paziņojumu.
“MoviePass nesen atklāja drošības ievainojamību, kas, iespējams, ir atklājusi klientu ierakstus,” teikts tajā. “Pēc ievainojamības atklāšanas mēs nekavējoties nodrošinājām savas sistēmas, lai novērstu turpmāku iedarbību un mazinātu šī incidenta iespējamo ietekmi. MoviePass uztver šo incidentu nopietni un ir veltīts mūsu klientu aizsardzībai ’; informācija. Mēs cītīgi strādājam, lai izpētītu šī incidenta apmēru un tā iespējamo ietekmi uz mūsu klientiem. Kad mēs būsim guvuši pilnīgu izpratni par notikušo, mēs nekavējoties paziņosim visiem skartajiem abonentiem un attiecīgajiem regulatoriem vai tiesībaizsardzības iestādēm. ”
Šis ir tikai pēdējais kļūdains pakalpojuma īsā laikā.
Sākot ar 4. jūliju, pakalpojums pēkšņi uz nenoteiktu laiku bija bezsaistē, lai veiktu tehniskos jauninājumus. Saskaņā ar tās tīmekļa vietni dažiem lietotājiem tas joprojām tiek atjaunots.
Business Insider aprīlī ziņoja, ka pakalpojumam ir atlikuši tikai 225 000 abonentu, kas ir milzīgs samazinājums salīdzinājumā ar vairāk nekā 3 miljoniem lietotāju gadu iepriekš, ko izraisīja cenu struktūras izmaiņas un lietošanas ierobežojumi.
Šā mēneša sākumā Business Insider veiktajā izmeklēšanā tika atklāts, ka MoviePass manuāli mainīja paroles kontos, kurus tas atzina par visaktīvākiem, lai neļautu labākajiem abonentiem izmantot pakalpojumu.
Tagad tajā ir gaidīšanas saraksts jauniem reģistrēšanās gadījumiem pakalpojumam, kas tiek reklamēts 19,95 USD mēnesī par vienu filmu dienā. Tā norāda, ka “pārmērīga individuāla lietošana” var radīt ierobežojumus.
