MoviePass, el servicio de venta de entradas de cine, ha expuesto los datos de decenas de miles de tarjetas de crédito de sus clientes.
El fallo de seguridad fue descubierto por Mossab Hussein, un investigador de seguridad de la empresa de ciberseguridad SpiderSilk, con sede en Dubai. Hussain encontró una base de datos expuesta en uno de los muchos subdominios de la empresa.
La base de datos era masiva, conteniendo 161 millones de registros en el momento de escribir este artículo y creciendo en tiempo real. Muchos de los registros eran mensajes de registro normales generados por el ordenador y utilizados para garantizar el funcionamiento del servicio, pero muchos también incluían información sensible de los usuarios, como los números de las tarjetas de los clientes de MoviePass.
Ninguno de los registros de la base de datos estaba encriptado
Estas tarjetas de cliente de MoviePass son como las tarjetas de débito normales: están emitidas por Mastercard y almacenan un saldo de dinero en efectivo, que los usuarios que se inscriben en el servicio de suscripción pueden utilizar para pagar por ver un catálogo de películas. Por una cuota mensual de suscripción, MoviePass utiliza la tarjeta de débito para cargar el coste total de la película, que el cliente utiliza después para pagarla en el cine.
Techcrunch revisó una muestra de 1.000 registros y eliminó los duplicados. Algo más de la mitad contenía números únicos de tarjetas de débito de MoviePass. Cada registro de tarjeta de cliente tenía el número de tarjeta de débito de MoviePass y su fecha de caducidad, el saldo de la tarjeta y la fecha de activación.
La base de datos tenía más de 58.000 registros con datos de tarjetas, y crecía por momentos.
Techcrunch también encontró registros que contenían los números de las tarjetas de crédito personales de los clientes y su fecha de caducidad, lo que incluía información de facturación, incluyendo nombres y direcciones postales. Entre los registros que revisamos, Techcrunch encontró registros con suficiente información para realizar compras fraudulentas con tarjeta.
Sin embargo, algunos registros contenían números de tarjeta que habían sido enmascarados excepto los cuatro últimos dígitos.
La base de datos también contenía la dirección de correo electrónico y algunos datos de la contraseña relacionados con los intentos fallidos de inicio de sesión.
Encontramos cientos de registros que contenían las direcciones de correo electrónico de los usuarios y las contraseñas presumiblemente introducidas de forma incorrecta -lo que quedó registrado- en la base de datos. Lo comprobamos intentando iniciar sesión en la aplicación con una dirección de correo electrónico y una contraseña que no existían pero que sólo nosotros conocíamos. Nuestra dirección de correo electrónico y contraseña falsas aparecieron en la base de datos casi inmediatamente.
Hussain se puso en contacto con el director ejecutivo de MoviePass, Mitch Lowe, por correo electrónico -que TechCrunch ha visto- durante el fin de semana, pero no obtuvo respuesta. Sólo después de que TechCrunch se pusiera en contacto el martes, MoviePass retiró la base de datos.
La base de datos estuvo expuesta durante meses. Yonathan Klijnsma, investigador de amenazas de la empresa de inteligencia de ciberamenazas RiskIQ, encontró pruebas de que la base de datos estaba abierta desde principios de mayo. Luego, después de que Techcrunch publicara esta historia, el investigador de seguridad Nitish Shah dijo a TechCrunch que también encontró la base de datos expuesta meses antes. Dijo:
Incluso se lo he notificado, pero no se han molestado en responder ni en solucionarlo,
Klijnsma proporcionó una captura de pantalla de la base de datos expuesta como prueba, que Techcrunch verificó.
Techcrunch hizo varias preguntas a MoviePass, entre ellas por qué se ignoró el correo electrónico inicial que revelaba el fallo de seguridad, durante cuánto tiempo estuvo expuesto el servidor y sus planes para revelar el incidente a los clientes y a los reguladores estatales.
Casi un día después de nuestra publicación, MoviePass reconoció el incidente de seguridad en una declaración repetitiva, pero no respondió a sus preguntas.
El comunicado decía:
MoviePass descubrió recientemente una vulnerabilidad de seguridad que podría haber expuesto los registros de los clientes. Después de descubrir la vulnerabilidad, aseguramos inmediatamente nuestros sistemas para evitar una mayor exposición y para mitigar el impacto potencial de este incidente, ... MoviePass se toma este incidente muy en serio y se dedica a proteger la información de nuestros clientes. Estamos trabajando con diligencia para investigar el alcance de este incidente y su posible impacto en nuestros clientes. Una vez que tengamos un conocimiento completo del incidente, lo notificaremos rápidamente a los suscriptores afectados y a los organismos reguladores o de aplicación de la ley correspondientes.
MoviePass ha estado en una montaña rusa desde que llegó al público general el año pasado. La empresa hizo crecer rápidamente su base de clientes de 1,5 millones a 2 millones en menos de un mes. Pero MoviePass sufrió una caída después de que los críticos dijeran que crecía demasiado rápido, lo que obligó a la empresa a dejar de operar brevemente después de que se quedara sin dinero. Más tarde, la empresa dijo que era rentable, pero luego suspendió el servicio, supuestamente para trabajar en su aplicación móvil. Ahora dice que ha "restaurado [el servicio] a un número sustancial de nuestros actuales suscriptores".
Datos internos filtrados de abril indicaban que su número de clientes pasó de tres millones de suscriptores a unos 225.000. Y este mismo mes, MoviePass habría cambiado las contraseñas de los usuarios para dificultar el acceso a los clientes que utilizan mucho el servicio.
Hussein dijo que la empresa fue negligente al dejar los datos sin cifrar en una base de datos expuesta y accesible.
"Seguimos viendo que empresas de todos los tamaños utilizan métodos peligrosos para mantener y procesar los datos privados de los usuarios", dijo Hussein a TechCrunch. Y añadió:
En el caso de MoviePass, nos cuestionamos la razón por la que los equipos técnicos internos podrían ver estos datos críticos en texto plano, y mucho menos el hecho de que el conjunto de datos estuviera expuesto al acceso público de cualquiera".
El investigador de seguridad dijo que encontró la base de datos expuesta utilizando las herramientas de mapeo web creadas por su empresa, que se asoman a las bases de datos no protegidas por contraseña que están conectadas a Internet, e identifican al propietario. La información se revela en privado a las empresas, a menudo a cambio de una recompensa por los fallos.
Hussein tiene un historial de encontrar bases de datos expuestas. En los últimos meses encontró uno de los laboratorios de desarrollo de Samsung expuesto en Internet. También encontró expuesta una base de datos de back-end perteneciente a Blind, una red social en el lugar de trabajo basada en el anonimato, que exponía datos privados de los usuarios.
Fuentes y créditos: Techcrunch, MSN