The ‘world’s largest casino’ exposed customers’ personal data

• Después de que TechCrunch alertara a Dexiga sobre la violación de seguridad, la empresa cerró la base de datos.
• TechCrunch revisó los datos filtrados y encontró una cuenta de usuario y una contraseña internas vinculadas al fundador de Dexiga, Rajini Jayaseelan.
• Jayaseelan no dijo si Dexiga tenía los medios técnicos para determinar si alguien más accedió a la base de datos mientras estuvo expuesta a Internet.

WinStar, con sede en Oklahoma, se promociona como “el casino más grande del mundo”. Los complejos de casino y hotel también ofrecen una aplicación, My WinStar, donde los huéspedes pueden acceder a opciones de autoservicio, sus puntos de recompensa y beneficios de fidelidad, así como bonos de casino durante su estancia en el hotel. Ver también: La FCC respalda a los constructores de fibra con límites de permisos.

Violación de datos

WinStar, una startup que desarrolla aplicaciones para teléfonos móviles, ha obtenido una base de datos expuesta que filtra información privada de los clientes en la web abierta.

La aplicación fue creada por una startup de software en Nevada llamada Dexiga. La startup dejó una base de datos de registros en Internet sin contraseñas, y cualquiera que conociera su dirección IP pública podía usar su navegador web para acceder a los datos de los clientes de WinStar almacenados en ella.
Después de que TechCrunch alertara a Dexiga sobre la violación de seguridad, la empresa cerró la base de datos. Anurag Sen, un investigador de seguridad legítimo con ojo para la exposición involuntaria de datos sensibles en Internet, descubrió que la base de datos contenía información personal, pero inicialmente no estaba claro a quién pertenecía la base de datos.
Anurag Sen dijo que los datos personales incluían nombres completos, números de teléfono, direcciones de correo electrónico y direcciones postales. Sen compartió detalles de la base de datos comprometida con TechCrunch para ayudar a identificar a su propietario y revelar la falla de seguridad. TechCrunch examinó algunos de los datos expuestos y confirmó los hallazgos de Sen. TechCrunch descubrió que la base de datos también contenía el género del individuo y la dirección IP del dispositivo del usuario. Ninguno de los datos estaba encriptado, pero algunos datos sensibles – como la fecha de nacimiento de una persona – fueron editados y reemplazados por un asterisco. Ver también: Ofcom expone la brecha de cobertura móvil en los trenes del Reino Unido.

La operación de Dexiga

TechCrunch revisó los datos filtrados y encontró una cuenta de usuario y una contraseña internas vinculadas al fundador de Dexiga, Rajini Jayaseelan. El sitio web de Dexiga dice que su plataforma tecnológica impulsa la aplicación My WinStar. Ver también: La UE reescribe las reglas de soberanía de la infraestructura de IA.

Para confirmar la fuente de la supuesta filtración, TechCrunch descargó e instaló la aplicación My WinStar en un dispositivo Android y la registró usando un número de teléfono controlado por TechCrunch. El número de teléfono apareció inmediatamente en la base de datos expuesta, confirmando que la base de datos estaba vinculada a la aplicación My WinStar.
TechCrunch contactó a Jayaseelan y compartió la dirección IP de la base de datos expuesta. Poco después, la base de datos se volvió inaccesible.
Jayaseelan dijo en un correo electrónico que Dexiga aseguró la base de datos, pero afirmó que contenía “información disponible públicamente” y que no se había comprometido ningún dato sensible.
Desiga dijo que el accidente fue causado por una migración de registros en enero. Dexiga no proporcionó una fecha específica para la exposición de la base de datos. La base de datos expuesta contiene un registro diario continuo que se remonta al 26 de enero, cuando fue asegurada. Ver también: La UE expulsa a los operadores satelitales estadounidenses del espectro.

Jayaseelan no dijo si Dexiga tenía medios técnicos, como registros de acceso, para determinar si alguien más accedió a la base de datos mientras estuvo expuesta a Internet. Jayaseelan tampoco quiso decir si Dexiga había notificado a WinStar sobre la violación de seguridad o si Dexiga notificaría a los clientes afectados que su información se había visto comprometida. No está claro cuántos datos personales de personas quedaron expuestos como resultado de la violación de datos.
Desiga respondió: “Estamos investigando más el incidente, continuamos monitoreando nuestros sistemas de TI y tomaremos las medidas necesarias en el futuro”. Ver también: La FCC exige licencias para los aterrizajes de cables submarinos en EE. UU..

Lea también: Las filtraciones de la cámara de la serie Samsung Galaxy S24 generan debates sobre el recuento de píxeles y el rango de zoom