MoviePass podrÃa muy bien actuar como prueba de que no todas las buenas ideas conducen al éxito. La compañÃa fue fundada hace unos ocho años, y su plan de negocios se basa en lo que parece un concepto brillante. Los suscriptores pagan una tarifa mensual fija y reciben una tarjeta de débito especial que solo se puede usar en los cines asociados con MoviePass. Van a dichos cines, escogen la pelÃcula que quieren ver y la hora del espectáculo, y su tarjeta de débito se repone automáticamente con suficiente dinero para pagar el boleto. Los usuarios usan la tarjeta y miran la pelÃcula.
En una palabra, es Netflix para las personas a las que les gusta levantarse del sofá de vez en cuando, y para los espectadores frecuentes, es una forma brillante de gastar menos en su pasatiempo. Sin embargo, mientras ahorran dinero, MoviePass lo pierde.
Las preocupaciones sobre la sostenibilidad del modelo comercial de MoviePass surgieron por primera vez poco después de que el servicio se puso en lÃnea, y a lo largo de los años, los usuarios experimentaron varios cambios en los planes de suscripción disponibles que supuestamente mejorarÃan la salud financiera de la compañÃa. A pesar de todo esto, los balances muestran que MoviePass sigue perdiendo dinero, y el año pasado, el servicio incluso fue detenido temporalmente porque la empresa no tenÃa dinero para pagar a sus socios. Más de un año después de la interrupción, los problemas financieros siguen siendo graves, y el futuro de MoviePass no parece muy seguro. Sin embargo, los problemas relacionados con el efectivo no deberÃan ser una excusa para poner en riesgo la privacidad de los usuarios, y desafortunadamente, un investigador de seguridad con el nombre de Mossab Hussein descubrió recientemente que MoviePass ha puesto en peligro la información personal de unos pocos suscriptores.
MoviePass deja un servidor lleno de datos confidenciales sin contraseña
Hussein descubrió una base de datos en uno de los subdominios de MoviePass que era accesible desde cualquier parte del mundo y no estaba protegida por una contraseña. La base de datos, luego se volvió aparente, fue llamado "prod" (muy probablemente, abreviatura de "producción"), y constantemente se agregaban nuevos registros que hicieron que Hussein creyera que podÃa contener información real de clientes reales de MoviePass. Se puso en contacto con Zack Whittaker de TechCrunch quien echó un vistazo e intenté averiguar qué tipo de datos estaban expuestos.
La base de datos no segura contenÃa más de 160 millones de registros, y aunque una gran parte de ellos consistÃa en registros del sistema, también habÃa mucha información personal. Whittaker tomó una muestra de 1, 000 registros, limpiaron los duplicados y descubrieron que aproximadamente la mitad de lo que quedaba consistÃa en números únicos de tarjetas de débito MoviePass y fechas de vencimiento. También encontró registros que contenÃan los números de tarjeta de crédito personal de los suscriptores, fechas de vencimiento, nombres e información postal, y debido a que era una base de datos de producción, se agregaban nuevas entradas todo el tiempo.
Aparentemente, el servidor desprotegido no almacenaba nombres de usuario y contraseñas válidos, pero contenÃa registros relacionados con intentos fallidos de inicio de sesión. Whittaker intentó iniciar sesión con las credenciales incorrectas, y segundos después, los detalles que ingresó aparecieron en la base de datos. El hecho de que se hayan registrado nombres de usuario y contraseñas incorrectos es algo extraño. El hecho de que Zack Whittaker pudiera verlos es aterrador.
MoviePass no protegió la información de ninguna manera
Desafortunadamente, dejar una base de datos sin contraseña es un error bastante común hoy en dÃa. Las consecuencias son a menudo bastante devastadoras, pero en el caso de MoviePass, el daño potencial podrÃa haber sido limitado por algunos mecanismos básicos de seguridad. Lamentablemente, esos mecanismos no fueron implementados.
Si suponemos que registrar las contraseñas no válidas que ingresan los usuarios es una buena decisión (una cuestión controvertida en sà misma), la empresa que lo haga debe pensar en almacenar estos datos de manera segura. Como hemos dicho una y otra vez, la única forma realmente segura de almacenar contraseñas es mediante hash. MoviePass, sin embargo, decidió almacenar las credenciales mal escritas en texto sin formato.
Tampoco se habÃa hecho nada para proteger las tarjetas de crédito y débito de los suscriptores. De hecho, una pequeña porción de los registros contenÃa solo los últimos cuatro dÃgitos de las tarjetas, pero en la mayorÃa de los casos, toda la información estaba disponible para su toma. Se desconoce si alguien logró llegar antes que Hussein, pero en su informe, Zack Whittaker dijo que según la firma de inteligencia de amenazas cibernéticas RiskIQ, la base de datos estuvo en lÃnea durante al menos dos meses. El reportero de TechCrunch le pidió a MoviePass que confirmara o negara esto, pero no recibió respuesta.
La reacción general de la compañÃa al incidente estuvo lejos de ser ideal. Mossab Hussein fue el primero en intentar revelar el problema. Debido a la naturaleza sensible de la información filtrada, escribió un correo electrónico directamente a Mitch Lowe, CEO de MoviePass durante el fin de semana, pero nunca recibió respuesta. Después de que Zack Whittaker se comunicó, la base de datos se desconectó silenciosamente, pero la compañÃa decidió no emitir una declaración oficial y revelar algunos detalles importantes sobre la fuga, como la naturaleza exacta de la información expuesta, el número de usuarios afectados y qué tipo de Las precauciones evitarán que ocurran incidentes similares en el futuro. Todas estas cosas permanecen desconocidas por ahora, lo que significa que cada suscriptor de MoviePass debe vigilar de cerca sus extractos bancarios y actuar rápidamente si detectan algo sospechoso.
