Os cartões de clientes MoviePass são emitidos pela Mastercard e armazenam um saldo em dinheiro. Foto: Divulgação.

O MoviePass, serviço de assinatura de ingressos de cinema, expôs milhares de números de cartões de crédito pessoais de clientes a partir de um servidor crítico que não estava protegido por senha.

De acordo com o TechCrunch, o pesquisador Mossab Hussein, da SpiderSilk, de Dubai, encontrou um banco de dados exposto em um dos muitos subdomínios da empresa. O ambiente continha 161 milhões de registros no momento da reportagem da publicação americana e seguia crescendo em tempo real. 

O site relata que muitos dos dados eram mensagens normais de registro geradas por computador, usadas para garantir a execução do serviço, mas também incluíam informações confidenciais do usuário, como os números de cartão da MoviePass.

Os cartões de clientes MoviePass são como cartões de débito normais: eles são emitidos pela Mastercard e armazenam um saldo em dinheiro que os assinantes podem utilizar para pagar por filmes. De acordo com a assinatura mensal, o MoviePass usa o cartão de débito para carregar os valores que o cliente usa para pagar o filme no cinema.

A partir de uma análise de 1 mil registros, removendo duplicatas, o TechCrunch determinou que um pouco mais da metade deles continha números de cartão de débito exclusivos do MoviePass. Cada registro mostra o número do cartão de débito MoviePass, data de validade, saldo e quando foi ativado.

O banco de dados continha mais de 58 mil registros contendo dados de cartões.

A análise ainda encontrou números de cartão de crédito pessoais de clientes e sua data de expiração, que incluíam informações de faturamento, incluindo nomes e endereços. Alguns registros verificados continham informações suficientes para fazer compras fraudulentas com os cartões.

O banco de dados também continha endereço de e-mail e alguns dados de senha relacionados a tentativas de login com falha. 

De acordo com a publicação, nenhum dos registros no banco de dados foi criptografado.

Hussain contatou o diretor executivo do MoviePass, Mitch Lowe, no último final de semana, mas não recebeu resposta. O MoviePass deixou o banco de dados offline apenas quando recebeu um contato do TechCrunch, na terça-feira, 20.