- Después de que TechCrunch alertara a Dexiga sobre la violación de seguridad, la empresa cerró la base de datos.
- TechCrunch revisó los datos filtrados y encontró una cuenta de usuario interna y una contraseña vinculadas al fundador de Dexiga, Rajini Jayaseelan.
- Jayaseelan no dijo si Dexiga tenía los medios técnicos para determinar si alguien más accedió a la base de datos mientras estuvo expuesta a Internet.
WinStar, con sede en Oklahoma, se autodenomina “el casino más grande del mundo”. Los resorts de casino y hotel también ofrecen una aplicación, My WinStar, donde los huéspedes pueden acceder a opciones de autoservicio, sus puntos de recompensa y beneficios de fidelidad, así como bonos de casino durante su estadía en el hotel.
Violación de datos
WinStar, una startup que desarrolla aplicaciones móviles, ha obtenido una base de datos expuesta quefiltra información privada de los clientesen la web abierta.
La aplicación fue creada por una startup de software en Nevada llamada Dexiga. La startup dejó una base de datos de registros en Internet sin contraseñas, y cualquier persona que conociera su dirección IP pública podría usar su navegador web para acceder a los datos de los clientes de WinStar almacenados en ella.
Después de que TechCrunch alertara a Dexiga sobre la violación de seguridad, la empresa cerró la base de datos. Anurag Sen, un investigador de seguridad de buena fe con buen ojo para la exposición involuntaria de datos confidenciales en Internet, descubrió que la base de datos contenía información personal, pero inicialmente no estaba claro a quién pertenecía la base de datos.
Anurag Sen dijo que los datos personales incluían nombres completos, números de teléfono, direcciones de correo electrónico y direcciones particulares. Sen compartió detalles de la base de datos comprometida con TechCrunch para ayudar a identificar a su propietario y divulgar la falla de seguridad. TechCrunch examinó algunos de los datos expuestos y confirmó los hallazgos de Sen. TechCrunch descubrió que la base de datos también contenía el género del individuo y la dirección IP del dispositivo del usuario. Ninguno de los datos estaba encriptado, pero algunos datos confidenciales, como la fecha de nacimiento de una persona, fueron editados y reemplazados por un asterisco.
La operación de Dexiga
TechCrunch revisó los datos filtrados y encontró una cuenta de usuario interna y una contraseña vinculadas al fundador de Dexiga, Rajini Jayaseelan. El sitio web de Dexiga dice que su plataforma tecnológica impulsa la aplicación My WinStar.
Para confirmar la fuente de la presunta filtración, TechCrunch descargó e instaló la aplicación My WinStar en un dispositivo Android y la registró utilizando un número de teléfono controlado por TechCrunch. El número de teléfono apareció inmediatamente en la base de datos expuesta, confirmando que la base de datos estaba vinculada a la aplicación My WinStar.
TechCrunch se puso en contacto con Jayaseelan y compartió la dirección IP de la base de datos expuesta. Poco después, la base de datos se volvió inaccesible.
Jayaseelan dijo en un correo electrónico que Dexiga aseguró la base de datos, pero afirmó que contenía “información públicamente disponible” y que no se comprometieron datos confidenciales.
Desiga dijo que el accidente fue causado por una migración de registros en enero. Dexiga no proporcionó una fecha específica para la exposición de la base de datos. La base de datos expuesta contiene un registro diario continuo que se remonta al 26 de enero, cuando fue asegurada.
Jayaseelan no dijo si Dexiga tenía medios técnicos, como registros de acceso, para determinar si alguien más accedió a la base de datos mientras estuvo expuesta a Internet. Jayaseelan tampoco quiso decir si Dexiga había notificado a WinStar sobre la violación de seguridad o si Dexiga notificaría a los clientes afectados que su información se había visto comprometida. No está claro cuántos datos personales de personas quedaron expuestos como resultado de la violación de datos.
Desiga respondió: “Estamos investigando más a fondo el incidente, continuamos monitoreando nuestros sistemas de TI y tomaremos las medidas necesarias en el futuro”.
También lea: Las filtraciones de la cámara de la serie Samsung Galaxy S24 generan debates sobre el conteo de píxeles y el rango de zoom
