MoviePass ha confirmado una grave violación de la seguridad que podría haber expuesto datos de miles de usuarios, incluyendo números de tarjeta de crédito, fechas de vencimiento e información de facturación.
Un investigador de la firma de seguridad cibernética SpiderSilk, encontró una base de datos expuesta en uno de los muchos subdominios de la compañía. La información estaba alojada en un servidor crítico accesible sin contraseña.
La base de datos era masiva, contenía 161 millones de registros en el momento de su localización y crecía en tiempo real. La mayoría de los registros eran mensajes normales generados por la computadora para garantizar la ejecución del servicio, pero otros muchos incluían información confidencial del usuario, como los números de tarjeta de cliente de MoviePass.
Estas tarjetas funcionan como tarjetas de débito normales: son emitidas por Mastercard y almacenan un saldo en efectivo que los clientes que contratan el servicio de suscripción de MoviePass pueden usar para pagar el visionado del catálogo de películas.
Ninguno de los archivos de esta base de datos estaba sin cifrar y contenían los números de tarjetas de crédito personales de los clientes, su fecha de vencimiento, información de facturación, correos electrónicos, nombres y direcciones postales. «Encontramos registros con suficiente información para realizar compras fraudulentas con esas tarjetas», asegura la firma de seguridad.
La base de datos estuvo expuesta durante meses, como mínimo desde comienzos de mayo. Lo peor del caso es que los investigadores advirtieron a MoviePass: «incluso les notifiqué, pero [no se molestaron] en responder o arreglarlo», explican.
Solo cuando el medio TechCrunch hizo pública la información la empresa reaccionó confirmando la vulnerabilidad y asegurando los sistemas, pero sin aclarar por qué ignoró el correo electrónico inicial que revelaba la violación de seguridad, por cuánto tiempo estuvo expuesto el servidor y sus planes de revelar el incidente a clientes y reguladores.
El caso de MoviePass es un ejemplo de todo lo que una empresa con centenares de miles de clientes no debe hacer en materia de seguridad. «Seguimos viendo compañías de todos los tamaños utilizando métodos peligrosos para mantener y procesar datos privados de los usuarios», recalcan los investigadores.