données
Le service d'abonnement aux billets de cinéma MoviePass est la dernière entreprise à avoir subi une violation de données par le biais de dizaines de milliers de numéros de carte client et de cartes de crédit laissés non sécurisés sur un serveur qui n'était pas protégé par un mot de passe.
La base de données ouverte a été découverte par le chercheur en sécurité de SpiderSilk, Mossab Hussain, qui l'a trouvée sur l'un des nombreux sous-domaines de l'entreprise. La base de données elle-même est massive et contient plus de 161 millions d'enregistrements, dont certains liés aux activités quotidiennes du service, ainsi que des informations sensibles sur les utilisateurs telles que les numéros de carte client MoviePass.
MoviePass émet des cartes à ses clients, qui sont similaires aux cartes de débit ordinaires et sont émises avec des cartes MasterCard. Ces cartes contiennent des soldes en espèces et des crédits que les clients peuvent utiliser pour payer pour voir des films.
- 90 % des violations de données sont causées par une erreur humaine
- Une fuite de données du gouvernement américain révèle des années de recherche
- Les données dans le cloud sont plus vulnérables que les organisations
Lorsque l'on considère les enregistrements stockés dans une base de données ouverte, chez TechCrunch ont également trouvé des informations sur les numéros de carte de crédit personnels des clients de MoviePass, y compris leurs dates d'expiration et des informations de facturation telles que les noms et les adresses postales. Cependant, certaines des entrées contenaient des numéros de carte où seuls les quatre derniers chiffres étaient visibles.
fond ouvert
Après avoir découvert la base ouverte, Hussein a contacté le directeur général de MoviePass, Mitch Lowe, pour l'informer, mais il n'a entendu aucune réponse. La base de données a été définitivement mise hors ligne après Publications TechCrunch contacté les représentants de l'entreprise.
Hussein a pu localiser la base de données MoviePass exposée à l'aide du propre outil de cartographie Web de SpiderSilk, qui recherche des bases de données non protégées par mot de passe connectées à Internet et identifie leurs propriétaires. Ces informations sont ensuite partagées avec des entreprises en privé, souvent en échange d'une prime de bogue.
Selon la société de renseignement sur les cybermenaces RiskIQ, les bases de données pourraient être exposées en quelques mois, comme la société l'a découvert pour la première fois sur un serveur non sécurisé en juin.
MoviePass n'a pas encore reconnu publiquement la violation et il est peu probable que cette faille de sécurité aide l'entreprise car elle a du mal à attirer plus de clients après avoir grandi trop vite. La société a également fait l'objet d'un examen minutieux récent après avoir prétendument changé les mots de passe des utilisateurs qui utilisent largement ses services pour les empêcher de voir plus de films.
- Nous avons également mis en évidence le meilleur logiciel antivirus gratuit de 2019
À travers Site Web de TechCrunch