Layanan berlangganan tiket film MoviePass telah mengekspos puluhan ribu nomor kartu pelanggan dan kartu kredit pribadi karena server kritis tidak dilindungi dengan kata sandi.
Mossab Hussein, seorang peneliti keamanan di perusahaan cybersecurity yang berbasis di Dubai, SpiderSilk, menemukan basis data yang terbuka di salah satu dari banyak subdomain perusahaan. Basis data sangat besar, berisi 161 juta catatan pada saat penulisan dan berkembang secara waktu nyata. Banyak catatan adalah pesan logging yang dihasilkan komputer yang biasa digunakan untuk memastikan jalannya layanan - tetapi banyak juga yang menyertakan informasi pengguna yang sensitif, seperti nomor kartu pelanggan MoviePass.
Kartu pelanggan MoviePass ini seperti kartu debit normal: kartu ini dikeluarkan oleh Mastercard dan menyimpan saldo tunai, yang dapat digunakan pengguna yang mendaftar ke layanan berlangganan untuk membayar untuk menonton katalog film. Untuk biaya berlangganan bulanan, MoviePass menggunakan kartu debit untuk memuat biaya penuh film, yang kemudian digunakan pelanggan untuk membayar film di bioskop.
Kami meninjau sampel 1.000 catatan dan menghapus duplikatnya. Sedikit lebih dari setengahnya berisi nomor kartu debit MoviePass yang unik. Setiap catatan kartu pelanggan memiliki nomor kartu debit MoviePass dan tanggal kedaluwarsanya, saldo kartu dan kapan kartu itu diaktifkan.
Basis data memiliki lebih dari 58.000 catatan yang berisi data kartu - dan terus bertambah setiap menit.
Kami juga menemukan catatan yang berisi nomor kartu kredit pribadi pelanggan dan tanggal kedaluwarsanya - yang mencakup informasi penagihan, termasuk nama dan alamat pos. Di antara catatan yang kami ulas, kami menemukan catatan dengan informasi yang cukup untuk melakukan pembelian kartu palsu.
Namun, beberapa catatan berisi nomor kartu yang telah disembunyikan kecuali untuk empat digit terakhir.
Basis data juga berisi alamat email dan beberapa data kata sandi yang terkait dengan upaya login gagal. Kami menemukan ratusan catatan yang berisi alamat email pengguna dan kemungkinan mengetik kata sandi yang salah - yang dicatat - di dalam basis data. Kami memverifikasi ini dengan mencoba masuk ke aplikasi dengan alamat email dan kata sandi yang tidak ada tetapi hanya kami yang tahu. Alamat email dan sandi tiruan kami segera muncul di database.
Tidak ada catatan dalam database yang dienkripsi.
Hussain menghubungi kepala eksekutif MoviePass, Mitch Lowe melalui email - yang telah dilihat TechCrunch - akhir pekan lalu tetapi tidak mendapat balasan. Itu hanya setelah TechCrunch menjangkau pada hari Selasa ketika MoviePass membuat database offline.
Dipahami bahwa basis data mungkin telah terpapar selama berbulan-bulan, menurut data yang dikumpulkan oleh perusahaan intelijen dunia maya RiskIQ, yang pertama kali mendeteksi sistem pada akhir Juni.
Kami mengajukan beberapa pertanyaan kepada MoviePass - termasuk mengapa email awal yang mengungkapkan penyimpangan keamanan diabaikan, untuk berapa lama server dibuka dan rencananya untuk mengungkapkan insiden tersebut kepada pelanggan dan regulator negara bagian. Ketika sampai, seorang juru bicara tidak mengomentari batas waktu kami.
MoviePass telah berada di roller coaster sejak itu menghantam audiens arus utama tahun lalu. Perusahaan dengan cepat meningkatkan basis pelanggannya dari 1,5 juta menjadi 2 juta pelanggan dalam waktu kurang dari sebulan. Tapi MoviePass jatuh setelah para kritikus mengatakan itu tumbuh terlalu cepat, memaksa perusahaan untuk berhenti beroperasi sebentar setelah perusahaan kehabisan uang. Perusahaan itu kemudian mengatakan itu menguntungkan, tetapi kemudian menangguhkan layanan, yang seharusnya bekerja pada aplikasi mobile-nya. Sekarang dikatakan telah "mengembalikan [layanan] ke sejumlah besar pelanggan kami saat ini."
Data internal yang bocor dari April mengatakan jumlah pelanggannya berubah dari tiga juta pelanggan menjadi sekitar 225.000. Dan baru bulan ini MoviePass dilaporkan mengubah kata sandi pengguna menjadi akses pincang bagi pelanggan yang menggunakan layanan ini secara luas.
Hussein mengatakan perusahaan lalai dalam membiarkan data tidak terenkripsi dalam database yang terbuka dan dapat diakses.
"Kami terus melihat perusahaan dari semua ukuran menggunakan metode berbahaya untuk mempertahankan dan memproses data pengguna pribadi," kata Hussein kepada TechCrunch. "Dalam kasus MoviePass, kami mempertanyakan alasan mengapa tim teknis internal akan diizinkan untuk melihat data kritis seperti itu dalam plaintext - apalagi fakta bahwa set data diekspos untuk akses publik oleh siapa pun," katanya.
Peneliti keamanan mengatakan ia menemukan database terbuka menggunakan alat pemetaan web buatan perusahaannya, yang mengintip ke dalam basis data yang dilindungi kata sandi yang terhubung ke internet, dan mengidentifikasi pemiliknya. Informasi ini diungkapkan secara pribadi kepada perusahaan, seringkali dengan imbalan hadiah bug.
Hussein memiliki sejarah menemukan database yang terbuka. Dalam beberapa bulan terakhir ia menemukan salah satu laboratorium pengembangan Samsung terekspos di internet. Dia juga menemukan database backend yang terbuka milik Blind, sebuah jejaring sosial di tempat kerja yang anonimitas, memperlihatkan data pengguna pribadi.
0 komentar:
Posting Komentar