Η εφαρμογή «Το μεγαλύτερο καζίνο στον κόσμο» εξέθεσε τα προσωπικά δεδομένα των πελατών


gnews




Τεχνολογία


Η εφαρμογή «Το μεγαλύτερο καζίνο στον κόσμο» παραβίασε την ιδιωτικότητα των πελατών



By

Marizas Dimitris



Η startup που αναπτύσσει την εφαρμογή τηλεφώνου για τον κολοσσό των καζίνο, WinStar, έχει εξασφαλίσει μια εκτεθειμένη βάση δεδομένων που διοχέτευε τις προσωπικές πληροφορίες των πελατών στον ανοιχτό ιστό.

Το WinStar με έδρα την Οκλαχόμα χαρακτηρίζεται ως το «μεγαλύτερο καζίνο του κόσμου» σε τετραγωνικά μέτρα. Το καζίνο και το θέρετρο του ξενοδοχείου προσφέρει επίσης μια εφαρμογή,

Το WinStar μου

στο οποίο οι επισκέπτες μπορούν να έχουν πρόσβαση σε επιλογές αυτοεξυπηρέτησης κατά τη διάρκεια της διαμονής τους στο ξενοδοχείο, στους πό

επιβράβευσης και στα προνόμια αφοσίωσης και στα κέρδη του καζίνο.

Η εφαρμογή αναπτύχθηκε από μια εκκίνηση λογισμικού στη Νεβάδα που ονομάζεται Dexiga.

Η εκκίνηση άφησε μία από τις βάσεις δεδομένων καταγραφής στο

χωρίς κωδικό πρόσβασης, επιτρέποντας σε οποιονδήποτε γνωρίζει τη δημόσια διεύθυνση IP της να έχει πρόσβαση στα δεδομένα πελατών WinStar που είναι αποθηκευμένα μέσα χρησιμοποιώντας μόνο το πρόγραμμα περιήγησής τους.

Η Dexiga έβγαλε τη βάση δεδομένων εκτός σύνδεσης αφού η TechCrunch ειδοποίησε την εταιρεία για το σφάλμα ασφαλείας.

Στιγμιότυπα οθόνης της εφαρμογής My WinStar.

Συντελεστές εικόνας:


Google Play

(στιγμιότυπο οθόνης)


Anurag Sen

ένας καλόπιστος ερευνητής ασφάλειας που έχει ταλέντο να ανακαλύπτει ευαίσθητα δεδομένα που εκτέθηκαν ακούσια στο διαδίκτυο, βρήκε τη βάση δεδομένων που περιείχε προσωπικές πληροφορίες, αλλά αρχικά ήταν ασαφές σε ποιον ανήκε η βάση δεδομένων.

Ο Σεν είπε ότι τα προσωπικά δεδομένα περιλαμβάνουν πλήρη ονόματα, αριθμούς τηλεφώνου, διευθύνσεις ηλεκτρονικού ταχυδρομείου και διευθύνσεις σπιτιού. Sen κοινοποίησε λεπτομέρειες της εκτεθειμένης βάσης δεδομένων με το TechCrunch για να βοηθήσει στην αναγνώριση του κατόχου της και στην αποκάλυψη του σφάλματος ασφαλείας.

Το TechCrunch εξέτασε ορισμένα από τα εκτεθειμένα δεδομένα και επαλήθευσε τα ευρήματα του Sen. Η βάση δεδομένων περιείχε επίσης το φύλο ενός ατόμου και τη διεύθυνση IP της συσκευής του χρήστη, σύμφωνα με το TechCrunch.

Κανένα από τα δεδομένα δεν ήταν κρυπτογραφημένο, αν και ορισμένα ευαίσθητα δεδομένα – όπως η ημερομηνία γέννησης ενός ατόμου – διορθώθηκαν και αντικαταστάθηκαν με αστερίσκους.

Μια ανασκόπηση των εκτεθειμένων δεδομένων από το TechCrunch βρήκε έναν εσωτερικό λογαριασμό χρήστη και έναν κωδικό πρόσβασης που σχετίζονται με τον ιδρυτή της Dexiga, Rajini Jayaseelan.

Ο ιστότοπος της Dexiga λέει ότι η

ολογική της

τροφοδοτεί την εφαρμογή My WinStar.

Για να επιβεβαιώσει την πηγή της ύποπτης διαρροής, το TechCrunch κατέβασε και εγκατέστησε την εφαρμογή My WinStar σε μια συσκευή

και εγγράφηκε χρησιμοποιώντας έναν αριθμό τηλεφώνου που ελέγχεται από το TechCrunch. Αυτός ο αριθμός τηλεφώνου εμφανίστηκε αμέσως στην εκτεθειμένη βάση δεδομένων, επιβεβαιώνοντας ότι η βάση δεδομένων ήταν συνδεδεμένη με την εφαρμογή My WinStar.

Η TechCrunch επικοινώνησε με τον Jayaseelan και μοιράστηκε τη διεύθυνση IP της εκτεθειμένης βάσης δεδομένων. Η βάση δεδομένων έγινε απρόσιτη μετά από λίγο.

Σε ένα email, ο Jayaseelan είπε ότι η Dexiga εξασφάλισε τη βάση δεδομένων, αλλά ισχυρίστηκε ότι η βάση δεδομένων περιείχε «δημόσιες πληροφορίες» και ότι δεν εκτέθηκαν ευαίσθητα δεδομένα.

Η Dexiga είπε ότι το περιστατικό προήλθε από μετανάστευση κορμού τον Ιανουάριο. Η Dexiga δεν παρείχε συγκεκριμένη ημερομηνία κατά την οποία αποκαλύφθηκε η βάση δεδομένων. Η εκτεθειμένη βάση δεδομένων περιείχε κυλιόμενα καθημερινά αρχεία καταγραφής που χρονολογούνται από τις 26 Ιανουαρίου τη στιγμή που ασφαλίστηκε.

Ο Jayaseelan δεν θα πει εάν η Dexiga διαθέτει τα τεχνικά μέσα, όπως αρχεία καταγραφής πρόσβασης, για να προσδιορίσει εάν κάποιος άλλος είχε πρόσβαση στη βάση δεδομένων ενώ ήταν εκτεθειμένη στο διαδίκτυο. Ο Jayaseelan επίσης δεν θα πει εάν η Dexiga έχει ειδοποιήσει το WinStar για το σφάλμα ασφαλείας ή εάν η Dexiga θα ενημέρωνε τους επηρεαζόμενους πελάτες ότι οι πληροφορίες τους είχαν εκτεθεί. Δεν είναι άμεσα γνωστό πόσα άτομα είχαν προσωπικά δεδομένα που εκτέθηκαν από τη διαρροή δεδομένων.

«Διερευνούμε περαιτέρω το περιστατικό, συνεχίζουμε να παρακολουθούμε τα συστήματα πληροφορικής μας και θα λάβουμε τις απαραίτητες μελλοντικές ενέργειες ανάλογα», δήλωσε η Dexiga σε απάντηση.

Ο γενικός διευθυντής του WinStar, Jack Parkinson, δεν απάντησε στα email του TechCrunch που ζητούσαν σχόλια.


Διαβάστε περισσότερα στο TechCrunch:


VIA:

techcrunch.com


Follow TechWar.gr on Google News


Παρόμοια άρθρα



Εξοικονομήστε το 50% στις Ζωντανές Συνεδρίες…




Η ανάπτυξη του κακόβουλου λογισμικού Raspberry…




Ηλεκτρονικές βίζες αντί φυσικών βιομετρικών καρτών…




Ανακοινώθηκε ευπάθεια στο BitLocker που επιτρέπει…






casino


cybersecurity


data breach


security


Καζίνο


κυβερνασφάλεια


Παραβίαση δεδομένων






Marizas Dimitris



110122 posts


12 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.