La startup que desarrolla la aplicación telefónica para el gigante de los casinos WinStar ha asegurado una base de datos expuesta que estaba divulgando información privada de los clientes a la web abierta.
WinStar, con sede en Oklahoma, se anuncia a sí mismo como el “casino más grande del mundo” por metros cuadrados. El casino y hotel resort también ofrece una aplicación, Mi Winstaren el que los huéspedes pueden acceder a opciones de autoservicio durante su estadía en el hotel, sus puntos de recompensa y beneficios de fidelidad, y ganancias del casino.
La aplicación está desarrollada por una startup de software de Nevada llamada Dexiga.
La startup dejó una de sus bases de datos de registro en Internet sin contraseña, lo que permite que cualquier persona con conocimiento de su dirección IP pública acceda a los datos del cliente WinStar almacenados utilizando solo su navegador web.
Dexiga desconectó la base de datos después de que TechCrunch alertara a la empresa sobre la falla de seguridad.
Capturas de pantalla de la aplicación My WinStar. Créditos de imagen: Google Play (captura de pantalla)
Anurag Senun investigador de seguridad de buena fe que tiene una habilidad para descubrir objetos expuestos inadvertidamente informacion delicada En Internetencontró la base de datos que contenía información personal, pero inicialmente no estaba claro a quién pertenecía.
Sen dijo que los datos personales incluían nombres completos, números de teléfono, direcciones de correo electrónico y domicilios. Sen compartió detalles de la base de datos expuesta con TechCrunch para ayudar a identificar a su propietario y revelar la falla de seguridad.
TechCrunch examinó algunos de los datos expuestos y verificó los hallazgos de Sen. La base de datos también contenía el sexo de un individuo y la dirección IP del dispositivo del usuario, encontró TechCrunch.
Ninguno de los datos fue cifrado, aunque algunos datos confidenciales, como la fecha de nacimiento de una persona, fueron redactados y reemplazados con asteriscos.
Una revisión de los datos expuestos realizada por TechCrunch encontró una cuenta de usuario interna y una contraseña asociadas con el fundador de Dexiga, Rajini Jayaseelan.
El sitio web de Dexiga dice que su plataforma tecnológica impulsa la aplicación My WinStar.
Para confirmar el origen del supuesto derrame, TechCrunch descargó e instaló la aplicación My WinStar en un dispositivo Android y se registró utilizando un número de teléfono controlado por TechCrunch. Ese número de teléfono apareció instantáneamente en la base de datos expuesta, confirmando que la base de datos estaba vinculada a la aplicación My WinStar.
TechCrunch se puso en contacto con Jayaseelan y compartió la dirección IP de la base de datos expuesta. La base de datos se volvió inaccesible poco tiempo después.
En un correo electrónico, Jayaseelan dijo que Dexiga aseguró la base de datos, pero afirmó que la base de datos contenía “información disponible públicamente” y que no se expuso ningún dato confidencial.
Dexiga dijo que el incidente se debió a una migración de registros en enero. Dexiga no proporcionó una fecha específica en la que la base de datos quedó expuesta. La base de datos expuesta contenía registros diarios continuos que se remontaban al 26 de enero en el momento en que se aseguró.
Jayaseelan no dijo si Dexiga tiene los medios técnicos, como registros de acceso, para determinar si alguien más accedió a la base de datos mientras estaba expuesta a Internet. Jayaseelan tampoco dijo si Dexiga notificó a WinStar sobre la falla de seguridad, o si Dexiga informaría a los clientes afectados que su información estuvo expuesta. No se sabe de inmediato cuántas personas tuvieron datos personales expuestos por la filtración de datos.
«Estamos investigando más a fondo el incidente, continuamos monitoreando nuestros sistemas de TI y tomaremos las acciones futuras necesarias en consecuencia», dijo Dexiga en respuesta.
El gerente general de WinStar, Jack Parkinson, no respondió a los correos electrónicos de TechCrunch solicitando comentarios.
Lea más en TechCrunch:
