"Netflix dos cinemas" expõe dados de cartão de crédito de seus clientes

Por Nathan Vieira | 21 de Agosto de 2019 às 14h23

Na última terça-feira, o portal norte-americano TecHCrunch trouxe à tona um relatório envolvendo o MoviePass, um serviço de venda de ingressos de filmes baseado em assinatura, e apelidado de "Netflix dos cinemas". Basicamente, informações confidenciais dos usuários, como os dados dos cartões de crédito, ficaram completamente desprotegidas na plataforma. Mais de 160 milhões de registros foram deixados sem criptografia.

A exposição das informações dos clientes do MoviePass aconteceu por causa de uma falha na proteção por senha de um banco de dados. Isso afetou dezenas de milhares de usuários. Quem descobriu essa falha, segundo o Tech Crunch, foi Mossab Hussein, um pesquisador da empresa de segurança cibernética SpiderSilk, de Dubai. Hussein contatou o executivo-chefe do MoviePass, Mitch Lowe, por e-mail. Entretanto, acabou não obtendo nenhuma resposta. A empresa deixou o banco de dados offline apenas no momento que a equipe do portal norte-americano entrou em contato.

MoviePass é considerada a Netflix dos cinemas (Foto: Divulgação/MoviePass)

Hussein conta que encontrou o banco de dados exposto usando ferramentas de mapeamento da Web criadas pela SpiderSilk. Essas ferramentas, basicamente, permitem espionar bancos de dados não protegidos, e a informação é divulgada de forma privada às empresas, costumeiramente em troca de uma recompensa pela descoberta da falha.

No entanto, o pesquisador de segurança diz que deixar os dados descriptografados em um banco de dados exposto e acessível foi uma verdadeira negligência da MoviePass. "Continuamos a ver empresas de todos os tamanhos usando métodos perigosos para manter e processar dados de usuários particulares", afirma. "No caso da MoviePass, estamos questionando a razão pela qual as equipes técnicas internas poderiam ver esses dados críticos em texto simples e por que o conjunto de dados foi exposto para o acesso público por qualquer pessoa".

O pesquisador de segurança Nitish Shah diz que também encontrou o banco de dados exposto meses antes. “Eu até os notifiquei, mas eles não se incomodaram em responder ou consertar”, declara. Isso significa que o banco de dados pode ter sido exposto por meses.

Fonte: Tech Crunch via Cnet

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.