Испытывающая трудности компания по подписке на билеты в кино MoviePass хранила тысячи номеров карт клиентов и персональных кредитных карт в базе данных, которая не была защищена паролем, сообщает TechCrunch.

Обнаруженная база данных, содержащая 161 миллион записей, была найдена Моссабом Хуссейном, исследователем безопасности из Дубая. Многие записи в базе данных представляли собой сгенерированные компьютером сообщения журнала, но некоторые также содержали конфиденциальную информацию пользователей, такую как номера карт клиентов MoviePass.

Карты клиентов MoviePass работают как дебетовые карты и выпускаются Mastercard, позволяя клиентам, оформившим подписку на MoviePass, использовать их для оплаты полной стоимости билетов в кино.

В выборке из 1000 записей TechCrunch обнаружил, что чуть более половины содержали уникальные номера дебетовых карт MoviePass, сроки действия и баланс карт. Было найдено более 58 000 записей, содержащих данные карт.

Незащищенная база данных MoviePass также содержала личные номера кредитных карт некоторых клиентов, а также сроки действия, имена, адреса и другую платежную информацию. TechCrunch утверждает, что записи содержали достаточно информации, чтобы кто-то мог совершать мошеннические покупки по картам, хотя некоторые записи содержали номера карт, которые были замаскированы, за исключением последних четырех цифр.

В базе данных также были обнаружены адреса электронной почты и пароли, связанные с неудачными попытками входа.

Мы обнаружили в базе данных сотни записей, содержащих адрес электронной почты пользователя и, предположительно, неправильно введенный пароль — которые были записаны. Мы проверили это, попытавшись войти в приложение, используя адрес электронной почты и пароль, которых не существовало, но которые знали только мы. Наш фиктивный адрес электронной почты и пароль появились в базе данных почти мгновенно.

В то время как Хуссейн связался с генеральным директором MoviePass Митчем Лоу в выходные, ответа не последовало. MoviePass оставила базу данных онлайн до вторника, когда TechCrunch связался с компанией.

База данных могла быть доступна в течение нескольких месяцев, но MoviePass не ответила на вопросы TechCrunch о том, как долго сервер был открыт и планирует ли она раскрыть инцидент клиентам.

Хуссейн сказал TechCrunch, что он задается вопросом, почему внутренним техническим командам разрешалось видеть критические данные в открытом виде, «не говоря уже о том, что набор данных был доступен для публичного доступа любому».

С момента запуска в начале 2018 года MoviePass катастрофически провалилась. Компания временно лишилась денег в середине 2018 года, потому что теряла до 40 миллионов долларов в месяц, а затем начала сокращать качество обслуживания, ограничивать доступ к фильмам, повышать цены и даже временно закрываться.

В начале этого месяца появились сообщения, предполагающие, что MoviePass пошла даже на изменение паролей своих самых активных пользователей в попытке сэкономить деньги. За последний год число подписчиков MoviePass предположительно сократилось с трех миллионов примерно до 225 000.