Забули про пароль: база даних клієнтів казино WinStar була доступна для всіх

Новини покеру: Забули про пароль WinStar

Клієнтам казино WinStar в Оклахомі рекомендували певний час регулярно перевіряти свої фінансові рахунки, оскільки базу даних додатка казино було зламано, а особиста інформація клієнтів стала легкодоступною. Точніше, застосунок не було спеціально зламано, але база даних клієнтів була незахищеною, що потенційно дало б змогу зловмисникам проникнути й зібрати записи собі на втіху.

Анураг Сен, який займається питаннями безпеки в мережі і який минулого року виявив порушення безпеки в індійському покер-румі PokerBaazi, звернув увагу на базу даних, але не знав, що вона належить WinStar. Він звернувся в TechCrunch, вказавши, що ця база даних містить безліч інформації про клієнтів, зокрема повні імена, номери телефонів, адреси електронної пошти, домашні адреси, IP-адреси та дати народження.

Жодного запису не було зашифровано. Копнувши глибше, TechCrunch виявили “внутрішній обліковий запис і пароль”, пов’язані з Раджині Джаясіланом, засновником Dexiga, компанії, що розробила додаток My WinStar.

Вважаючи, що вони переглядають дані клієнтів WinStar, TechCrunch створили тестовий акаунт у додатку казино. Цей запис відразу ж з’явився в базі даних.

Найімовірніше, база даних і інформація, що міститься в ній, виявилася доступною через недбалість. За даними TechCrunch, Dexiga “залишили одну зі своїх баз даних логів без пароля, що дало змогу будь-кому, хто знає її публічну IP-адресу, отримати доступ до даних клієнтів, які в ній зберігаються, використовуючи тільки свій веб-браузер”.

TechCrunch зв’язалися з Dexiga і повідомили, що база даних “через деякий час стала недоступною”. Повідомляється, що база даних містила тільки загальнодоступну інформацію, а конфіденційні дані не були скомпрометовані.

“Ми продовжуємо розслідувати інцидент, продовжуємо стежити за нашими ІТ-системами і вживаємо необхідних заходів”, – зазначили в Dexiga.

Але деякі питання залишилися без відповіді. Наприклад, скільки записів про клієнтів було розкрито і чи є якийсь спосіб дізнатися, хто ще отримав доступ до бази, крім розслідувачів.