导读 电影票订阅服务MoviePass是在没有密码保护的服务器上将成千上万的客户卡号和个人信用卡不安全之后,最新的遭受数据泄露的公司。
公开的
电影票订阅服务MoviePass是在没有密码保护的服务器上将成千上万的客户卡号和个人信用卡不安全之后,最新的遭受数据泄露的公司。
公开的数据库是由SpiderSilk安全研究员Mossab Hussein发现的,该公司在公司的许多子域之一中找到了它。该数据库本身规模庞大,包含超过1.61亿条记录,其中包括一些与服务的日常操作有关的记录,以及敏感的用户信息,例如MoviePass客户卡号。
MoviePass向其客户发行类似于普通借记卡的卡,并由MasterCard发行。这些卡包含现金余额,公司将资金存入其中,然后客户可以用来支付看电影的费用。
在查看存储在公开数据库中的记录时,TechCrunch还发现了有关MoviePass客户的个人信用卡号的信息,包括其到期日以及帐单信息(例如姓名和邮政地址)。但是,某些记录包含卡号,只有最后四位数字可见。
在发现了公开的数据库之后,侯赛因与MoviePass的首席执行官米奇·洛(Mitch Lowe)取得了联系,以告知此事,但他没有回音。TechCrunch与公司联系后,该数据库终于脱机。
侯赛因能够使用SpiderSilk自己的网络映射工具找到MoviePass的公开数据库,该工具可搜索与互联网连接的不受密码保护的数据库,并确定其所有者。然后,通常将这些信息私下向公司披露,以换取漏洞赏金。
根据网络威胁情报公司RiskIQ的说法,由于该公司在6月首次检测到不安全的服务器,因此数据库可能已经暴露了数月之久。
MoviePass尚未公开承认该漏洞,由于安全增长过快之后,该公司努力争取更多的客户,因此安全漏洞可能对公司无济于事。据报道,该公司更改了广泛使用其服务的用户的密码,以防止他们观看更多电影后,该公司最近也受到审查。