MoviePass est la dernière société à avoir subi une violation de données après que des dizaines de milliers de numéros de cartes clients et de cartes de crédit personnelles ont été laissés non sécurisés sur un serveur non protégé par un mot de passe.
La base de données exposée a été découverte par Mossab Hussein, chercheur en sécurité chez SpiderSilk, qui l’a trouvée dans l’un des nombreux sous-domaines de la société. La base de données elle-même est massive et contient plus de 161 millions d'enregistrements, dont certains concernent les opérations quotidiennes du service, ainsi que des informations utilisateur sensibles, telles que les numéros de carte client MoviePass.
MoviePass envoie à ses clients des cartes similaires aux cartes de débit normales et émises par MasterCard. Ces cartes contiennent un solde en espèces et la société y dépose des fonds que les clients paient ensuite pour voir des films.
Lors de l'examen des enregistrements stockés dans la base de données exposée, TechCrunch Nous avons également trouvé des informations sur les numéros de carte de crédit personnels des clients MoviePass, notamment leur date d'expiration, ainsi que des informations de facturation telles que les noms et adresses postales. Cependant, certains enregistrements contenaient des numéros de carte sur lesquels seuls les quatre derniers chiffres étaient visibles.
Sommaire
Base de données exposée
Après avoir découvert la base de données exposée, Hussein a contacté le directeur général de MoviePass, Mitch Lowe, pour l'informer de l'affaire, mais il n'a pas eu de réponse. La base de données a finalement été déconnectée après TechCrunch tend la main à l'entreprise.
Hussein a pu trouver la base de données exposée de MoviePass en utilisant les propres outils de cartographie Web de SpiderSilk, qui permettent de rechercher des bases de données non protégées par mot de passe connectées à Internet et d'identifier leurs propriétaires. Ces informations sont ensuite divulguées à des entreprises à titre privé, souvent en échange d’une prime au bug.
Selon RiskIQ, la société de renseignement sur les cybermenaces, la base de données a peut-être été exposée pendant des mois car la société a détecté le serveur non sécurisé en juin.
MoviePass n'a pas encore reconnu publiquement cette violation et cette lacune en matière de sécurité n'aidera probablement pas l'entreprise à lutter pour gagner plus de clients après une croissance beaucoup trop rapide. La société a également été examinée récemment après avoir apparemment modifié les mots de passe d'utilisateurs qui utilisent son service de manière intensive pour les empêcher de voir davantage de films.
Via TechCrunch