خدمة الاشتراك في تذكرة الفيلم كشفت MoviePass عشرات الآلاف من أرقام بطاقات العملاء وبطاقات الائتمان الشخصية لأن الخادم الحرجة لم يكن محميًا بكلمة مرور. Spidersilk وجدت قاعدة بيانات مكشوفة على أحد النطاقات الفرعية العديدة للشركة. كانت قاعدة البيانات ضخمة تحتوي على 161 مليون سجل في وقت الكتابة والنمو في الوقت الفعلي. كانت العديد من السجلات هي رسائل التسجيل العادية التي تم إنشاؤها بواسطة الكمبيوتر المستخدمة لضمان تشغيل الخدمة-ولكن العديد منها شملت أيضًا معلومات مستخدم حساسة مثل أرقام بطاقة عملاء MoviePass.
: يتم إصدارها من MasterCard وتخزين رصيد نقدي يمكن للمستخدمين الذين يقومون بالتسجيل في خدمة الاشتراك استخدامه للدفع لمشاهدة كتالوج للأفلام. للحصول على رسوم اشتراك شهرية يستخدم MoviePass بطاقة الخصم لتحميل التكلفة الكاملة للفيلم والتي يستخدمها العميل بعد ذلك لدفع ثمن الفيلم في السينما.
قمنا بمراجعة عينة من 1000 سجل وإزالتها التكرارات. يحتوي ما يزيد قليلاً عن نصف النصف على أرقام بطاقة الخصم الفريدة من نوعها. كان لكل سجل بطاقة العميل رقم بطاقة الخصم على MoviePass وتاريخ انتهاء صلاحيته ورصيد البطاقة وعندما تم تنشيطه.
كان لدى قاعدة البيانات أكثر من 58000 سجل يحتوي على بيانات البطاقة - وكان ينمو بحلول دقيقة. >
وجدنا أيضًا سجلات تحتوي على أرقام بطاقات الائتمان الشخصية للعملاء وتاريخ انتهاء الصلاحية - والتي تضمنت معلومات الفواتير بما في ذلك الأسماء والعناوين البريدية. من بين السجلات التي استعرضناها وجدنا سجلات تحتوي على معلومات كافية لإجراء عمليات شراء لبطاقات احتيالية.
بعض السجلات ومع ذلك تحتوي تحتوي قاعدة البيانات أيضًا على عنوان بريد إلكتروني وبعض بيانات كلمة المرور المتعلقة بمحاولات تسجيل الدخول الفاشلة. لقد وجدنا المئات من السجلات التي تحتوي على عناوين البريد الإلكتروني للمستخدمين ويفترض أن كلمات المرور المكتوبة بشكل غير صحيح - والتي تم تسجيلها - في قاعدة البيانات. لقد تحققنا من ذلك من خلال محاولة تسجيل الدخول إلى التطبيق بعنوان بريد إلكتروني وكلمة مرور غير موجودة ولكننا نعرف فقط. ظهر عنوان بريدنا الإلكتروني الوهمي وكلمة المرور في قاعدة البيانات على الفور تقريبًا.
لم يتم تشفير أي من السجلات في قاعدة البيانات. خلال عطلة نهاية الأسبوع ولكن لم يسمع. لم يكن ذلك إلا بعد الوصول إلى TechCrunch يوم الثلاثاء عندما أخذ MoviePass قاعدة البيانات دون اتصال.
تم كشف قاعدة البيانات لعدة أشهر. وجد Yonathan Klijnsma باحث التهديد في شركة الاستخبارات الإلكترونية Riskiq دليلًا على أن قاعدة البيانات مفتوحة منذ أوائل مايو. بعد ذلك بعد أن نشرنا هذه القصة أخبر باحث الأمن Nitish Shah TechCrunch أنه وجد أيضًا قاعدة البيانات المكشوفة قبل أشهر. قال: 'لقد أبلغتهم لكنهم [لم يزعجوا] الرد أو إصلاحه. لقد قدم لقطة شاشة لقاعدة البيانات المكشوفة للإثبات والتي تحققنا منها. الكشف عن الحادث الذي وقع لدى العملاء ومنظمي الدولة.
بعد يوم تقريبًا من نشرنا أقر MoviePass بحادث الأمن في بيان بلون لكنه لم يجيب على أسئلتنا. قد يكون ذلك قد كشف سجلات العملاء. بعد اكتشاف الضعف قمنا على الفور بتأمين أنظمتنا لمنع مزيد من التعرض وتخفيف التأثير المحتمل لهذا الحادث كما قال لوي. يأخذ MoviePass هذا الحادث على محمل الجد وهو مكرس لحماية معلومات عملائنا. نحن نعمل بجد للتحقيق في نطاق هذا الحادث وتأثيره المحتمل على عملائنا. بمجرد أن نحصل على فهم كامل للحادث سنقوم على الفور بإخطار أي من المشتركين المتأثرين والمنظمين المناسبين أو إنفاذ القانون.
moviePass
اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي
