Забыли о пароле: база данных клиентов казино WinStar была доступна для всех

Клиентам казино WinStar в Оклахоме рекомендовали какое-то время регулярно проверять свои финансовые счета, поскольку база данных приложения казино была взломана, а личная информация клиентов стала легкодоступной. Точнее, приложение не было специально взломано, но база данных клиентов была незащищенной, что потенциально позволило бы злоумышленникам проникнуть и собрать записи в свое удовольствие.

Анураг Сен, занимающийся вопросами безопасности в сети и который в прошлом году обнаружил нарушение безопасности в индийском покер-руме PokerBaazi, обратил внимание на базу данных, но не знал, что она принадлежит WinStar. Он обратился в TechCrunch, указав, что эта база данных содержит множество информации о клиентах, в том числе полные имена, номера телефонов, адреса электронной почты, домашние адреса, IP-адреса и даты рождения.

Ни одна запись не была зашифрована. Копнув глубже, TechCrunch обнаружили "внутреннюю учетную запись и пароль", связанные с Раджини Джаясиланом, основателем Dexiga, компании, разработавшей приложение My WinStar.

Полагая, что они просматривают данные клиентов WinStar, TechCrunch создали тестовый аккаунт в приложении казино. Эта запись сразу же появилась в базе данных.

Скорее всего, база данных и содержащаяся в ней информация оказалась доступной из-за небрежности. По данным TechCrunch, Dexiga "оставили одну из своих баз данных логов без пароля, что позволило любому, кто знает, ее публичный IP-адрес, получить доступ к хранящимся в ней данным клиентов, используя только свой веб-браузер".

TechCrunch связались с Dexiga и сообщили, что через некоторое время база данных "через некоторое время стала недоступной". Сообщается, что база данных содержала только общедоступную информацию, а конфиденциальные данные не были скомпрометированы.

"Мы продолжаем расследовать инцидент, продолжаем следить за нашими ИТ-системами и принимаем необходимые меры", — отметили в Dexiga.

Но некоторые вопросы остались без ответа. Например, сколько записей о клиентах оказались раскрыты и есть ли какой-то способ узнать, кто еще получил доступ к базе, кроме расследователей.

Новости, акции, бонусы у нас в Телеграм канале. Розыгрыш призов и билетов!

Подписаться