- Après que TechCrunch a alerté Dexiga de la brèche de sécurité, la société a fermé la base de données.
- TechCrunch a examiné les données divulguées et a trouvé un compte utilisateur interne et un mot de passe liés au fondateur de Dexiga, Rajini Jayaseelan.
- Jayaseelan n'a pas dit si Dexiga disposait des moyens techniques pour déterminer si quelqu'un d'autre avait accédé à la base de données pendant qu'elle était exposée sur Internet.
WinStar, basé en Oklahoma, se présente comme le « plus grand casino du monde ». Les complexes hôteliers et casinos proposent également une application, My WinStar, qui permet aux clients d’accéder à des options en libre-service, à leurs points de récompense et avantages de fidélité, ainsi qu’à des bonus de casino pendant leur séjour à l’hôtel.
Fuite de données
WinStar, une startup qui développe des applications mobiles, a obtenu une base de données exposée quifuit les informations privées des clientssur le web ouvert.
L’application a été créée par une startup de logiciels au Nevada appelée Dexiga. La startup a laissé une base de données de logs sur Internet sans mots de passe, et toute personne connaissant son adresse IP publique pouvait utiliser son navigateur web pour accéder aux données clients de WinStar qui y étaient stockées.
Après que TechCrunch a alerté Dexiga de la brèche de sécurité, la société a fermé la base de données. Anurag Sen, un chercheur en sécurité légitime avec un œil pour les expositions involontaires de données sensibles sur Internet, a découvert que la base de données contenait des informations personnelles, mais il n’était pas clair au départ à qui appartenait la base de données.
Anurag Sen a déclaré que les données personnelles comprenaient les noms complets, les numéros de téléphone, les adresses e-mail et les adresses personnelles. Sen a partagé les détails de la base de données compromise avec TechCrunch pour aider à identifier son propriétaire et divulguer la faille de sécurité. TechCrunch a examiné une partie des données exposées et a confirmé les conclusions de Sen. TechCrunch a constaté que la base de données contenait également le sexe de l’individu et l’adresse IP de l’appareil de l’utilisateur. Aucune des données n’était chiffrée, mais certaines données sensibles – comme la date de naissance d’une personne – étaient masquées et remplacées par un astérisque.
L'opération Dexiga
TechCrunch a examiné les données divulguées et a trouvé un compte utilisateur interne et un mot de passe liés au fondateur de Dexiga, Rajini Jayaseelan. Le site Web de Dexiga indique que sa plateforme technologique alimente l'application My WinStar.
Pour confirmer la source de la fuite présumée, TechCrunch a téléchargé et installé l'application My WinStar sur un appareil Android et l'a enregistrée en utilisant un numéro de téléphone contrôlé par TechCrunch. Le numéro de téléphone est immédiatement apparu dans la base de données exposée, confirmant que celle-ci était liée à l'application My WinStar.
TechCrunch a contacté Jayaseelan et a partagé l'adresse IP de la base de données exposée. Peu après, la base de données est devenue inaccessible.
Jayaseelan a déclaré dans un e-mail que Dexiga avait sécurisé la base de données, mais a affirmé qu'elle contenait des « informations publiquement disponibles » et qu'aucune donnée sensible n'avait été compromise.
Desiga a déclaré que l'incident était dû à une migration de logs en janvier. Dexiga n'a pas fourni de date précise pour l'exposition de la base de données. La base de données exposée contient un journal quotidien continu remontant au 26 janvier, date à laquelle elle a été sécurisée.
Jayaseelan n'a pas dit si Dexiga disposait de moyens techniques, tels que des journaux d'accès, pour déterminer si quelqu'un d'autre avait accédé à la base de données pendant qu'elle était exposée sur Internet. Jayaseelan n'a pas non plus voulu dire si Dexiga avait informé WinStar de la brèche de sécurité ou si Dexiga informerait les clients concernés que leurs informations avaient été compromises. On ne sait pas combien de données personnelles ont été exposées à la suite de cette fuite.
Desiga a répondu: « Nous enquêtons actuellement sur l'incident, continuons de surveiller nos systèmes informatiques et prendrons les mesures nécessaires à l'avenir. »
Lire aussi: Les fuites sur l'appareil photo de la série Samsung Galaxy S24 suscitent des débats sur le nombre de pixels et la plage de zoom
