ムービーパス、映画サブスクリプション サービスは、「これは信じられないほど良い」から「」になりました。一体何が起こっているのですか、とても疲れています」 一連の再発明の中で、また挫折を経験しました。
セキュリティ調査会社によると、同社は数千件の顧客カード情報と数万件の顧客のクレジットカード情報を、パスワードで保護されていないサーバー上に閲覧可能な状態で残したという。
TechCrunchの記者が作成したデータベースリアルタイムで成長を観察」には、通常の業務遂行中に生成されるログの詳細から、暗号化されていないユーザーの詳細に至るまで、1 億 6,100 万件以上のレコードが含まれており、その数は増え続けています。カード番号、有効期限、カード所有者名、およびクレジット カードまたはデビット カードの詳細も入手可能でした。平文の請求先アドレス。
MoviePass 顧客カードは基本的に MasterCard 発行のデビット カードです。顧客は月額料金を支払い、上映の予約時にサービスによって映画チケットの価格がカードにチャージされるため、加入者はそのカードを使ってチケット売り場で映画チケットを購入できます。
(ムービーパスカード技術的には使えるかもしれないデビット購入を行うと、アカウント所有者はすぐに禁止されるだろうが、ユーザーはこう考えています。)
マッシュ可能な光の速度
ツイートは削除された可能性があります
保護されていないデータセットは、ドバイに本拠を置く企業 SpiderSilk が開発したシステムによって検出され、同社のセキュリティ チームが手動で確認した後、MoviePass に通知しましたが、応答はありませんでした。
セキュリティ研究者のモサブ・フセイン氏はMashableに対し、彼のチームはデータベースが他の当事者によってアクセスされたかどうかを確実に判断することはできないが、データセット内で公開される可能性のあるクレジットカードの数は数万枚に上ると推定している、と語った。 MoviePass カード 50,000 枚。
「単純なベストプラクティスを講じれば、そもそもこのような事態は起こらなかったはずだ」とフセイン氏は語った。 「しかし、『内部ツール』や『内部ログ』に関しては、多くの企業が必要以上に心配していないことがわかります。そして彼らは、『ああ、これは内部使用と分析専用だ』というようなことを言ってこれを正当化します。」
MashableはMoviePassの親会社であるHelios + Mathesonにこの暴露に関するコメントを求め、その中にはTechCrunchが問題を通知した後のみデータベースがオフラインになった理由や、フセイン氏が週末に接触した際にはオフラインにならなかった理由も含めてコメントを求めた。
「調査結果を認めるまでに30日かかった企業も見てきましたし、60分以内に調査結果を認めて修正した企業も見てきました」とフセイン氏は語った。 「しかし、この問題に関して私たちの立場は常に非常に厳格です。企業はアプリがダウンするとパニックに陥り、数秒で対応します...顧客データの安全性も同様に扱うべきです。」