华盟君引言“一位安全专家发现,受欢迎的电影票订购服务MoviePass暴露了数千名客户的卡号和个人信用卡。
网络安全公司SpiderSilk的安全专家莫斯萨布侯赛因(Mossab Hussein)发现,MoviePass公开了一个包含其一个子域名的信用卡数据的数据库。该档案包含1.61亿条记录,数据量还在实时增长。
研究人员发现数据库中的记录没有加密。
数据库包括数据日志和敏感用户数据,如客户卡号。Techcrunch对1000条记录样本进行了分析,结果显示,数据是真实的。
“我们检查了1000条记录样本,并删除了重复记录。略多于一半的人拥有独一无二的MoviePass借记卡号码。每个客户卡记录都有MoviePass借记卡号码及其有效期、卡的余额和激活时间。“Techcrunch报道。
这份档案包括5.8万多条记录,其中包括信用卡数据。据这位专家说,随着时间的推移,这一数字还在增长。
未加密的数据库还包含客户的个人信用卡号码和有效期,以及账单信息(姓名和邮政地址)。在某些情况下,可用的数据可能会让所有者面临欺诈。
日志数据包括电子邮件地址和输入错误的密码。
侯赛因试图向MoviePass报告他的发现,但他没有收到任何回复。在TechCrunch向该公司报告了这个问题后,这项服务被关闭了。
据TechCrunch报道,安全公司RiskIQ于6月下旬首次检测到被泄露的档案文件,该数据库可能已被泄露数月。
“我们不断看到各种规模的公司使用危险的方法来维护和处理私人用户数据,”侯赛因告诉TechCrunch。“在MoviePass的案例中,我们质疑为什么内部技术团队会被允许以明文形式查看如此关键的数据——更不用说数据集被任何人公开供公众访问这一事实了,”
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
