MoviePass将客户的信用卡号留在未受保护的服务器上

MoviePass，电影订阅服务，从“这太好不可能”到“甚至一切都让我累了”在一系列的再造中，又遭受了另一次挫折。

据一家安全研究公司称，该公司在未受密码保护的服务器上显示了成千上万的客户卡详细信息以及数以万计的客户信用卡详细信息。

该数据库是TechCrunch的一名记者观察到的“实时增长”，其中包含超过1.61亿条记录并且正在计数，从正常运行日生成的日志记录详细信息到未加密的用户详细信息。还提供信用卡或借记卡详细信息，包括卡号，到期日期，持卡人姓名和明文帐单地址。

MoviePass客户卡基本上是万事达卡发行的借记卡;客户支付月费，并且当预订放映时，该服务以电影票的价格加载卡，因此订户可以在票房用卡购买它们。

（技术上可以使用MoviePass卡进行任何借记购买，用户理论，尽管它会让帐户持有人很快被禁止。）

我们通过尝试一组独特但虚假的登录凭据，将数据库验证为实时系统。不一会儿，我们看到我们的电子邮件地址和密码出现在后端数据库中。

我的意思是，数据库被称为“prod”。但你知道，很高兴检查。 pic.twitter.com/KXfaOU9PU0

– Zack Whittaker（@zackwhittaker）2019年8月20日

未受保护的数据集由迪拜公司spiderSilk开发的系统检测到，并且在他们通知MoviePass之前由公司的安全团队手动确认，但没有回应。

安全研究员Mossab Hussein告诉Mashable，他的团队无法确定该数据库是否已被其他方访问，他们估计数据中心化可能暴露的信用卡数量达到数万，此外还有50,000张MoviePass卡。

“简单的最佳实践应该首先阻止任何这种情况发生，”侯赛因说。 “但是，当涉及到'内部工具'和'内部日志记录'时，我们看到许多公司并没有像他们应该担心的那么多。他们通过说出“哦，它只是用于内部使用和分析”的方式来证明这一点。

Mashable已经联系了MoviePass的母公司Helios + Matheson，对曝光进行了评测，其中包括数据库仅在TechCrunch通知他们这个问题后才下线的原因，而不是侯赛因在周末结束时。

“我们已经看到公司花了30天的时间来承认这一发现，我们也看到公司在60分钟内承认并修补了一项发现，”侯赛因说。 “但我们对此话题的立场一直非常严格。如果他们的应用程序出现故障，公司会在几秒钟内恐慌并做出回应……他们应该同样对待客户数据的安全性。”