The ‘world’s largest casino’ exposed customers’ personal data

• TechCrunch 向 Dexiga 报告安全漏洞后，该公司关闭了数据库。
• TechCrunch 检查了泄露的数据，发现一个与 Dexiga 创始人 Rajini Jayaseelan 相关的内部用户账户和密码。
• Jayaseelan 未透露 Dexiga 是否有技术手段（如访问日志）来判断在数据库暴露于互联网期间是否有其他人访问过。

总部位于俄克拉荷马州的 WinStar 自称“世界最大的赌场”。其赌场和酒店度假村还提供一款名为 My WinStar 的应用程序，客人可以通过该应用使用自助服务、查看积分和忠诚度福利，并在入住期间获得赌场奖励。 另见: FCC 以许可限制支持光纤建设者.

数据泄露

WinStar，一家开发手机应用的初创公司，获得了一个暴露的数据库，该数据库将客户私人信息泄露到了公开网络上。

该应用由内华达州一家名为 Dexiga 的软件初创公司开发。这家初创公司将一个日志数据库留在了互联网上，且未设置密码，任何知道其公共 IP 地址的人都可以通过网页浏览器访问其中存储的 WinStar 客户数据。
在 TechCrunch 向 Dexiga 报告安全漏洞后，该公司关闭了数据库。安全研究员 Anurag Sen 善于发现无意中暴露在互联网上的敏感数据，他发现该数据库包含个人信息，但最初不清楚数据库属于谁。
Anurag Sen 表示，这些个人数据包括全名、电话号码、电子邮件地址和家庭住址。Sen 向 TechCrunch 提供了泄露数据库的详细信息，以帮助确认其所有者并披露安全漏洞。TechCrunch 检查了部分暴露数据，证实了 Sen 的发现。TechCrunch 发现该数据库还包含个人的性别和用户设备的 IP 地址。这些数据都未加密，但一些敏感数据（如出生日期）经过编辑，以星号取代。 另见: Ofcom 揭露英国铁路移动覆盖差距.

Dexiga 的运作

TechCrunch 审查了泄露的数据，发现了一个与 Dexiga 创始人 Rajini Jayaseelan 相关的内部用户账户和密码。Dexiga 的网站显示，其技术平台为 My WinStar 应用提供支持。 另见: 欧盟重写人工智能基础设施主权规则.

为了确认疑似泄露的源头，TechCrunch 在 Android 设备上下载安装了 My WinStar 应用，并使用 TechCrunch 控制的电话号码进行了注册。该电话号码立即出现在泄露的数据库中，证实该数据库与 My WinStar 应用相关联。
TechCrunch 联系了 Jayaseelan，并提供了泄露数据库的 IP 地址。不久之后，数据库就无法访问了。
Jayaseelan 在一封电子邮件中表示，Dexiga 已保护该数据库，但声称其中包含的是“公开信息”，没有敏感数据受损。
Desiga 表示，事故是由于 1 月份的一次日志迁移造成的。Dexiga 未提供数据库暴露的具体日期。该暴露数据库包含滚动记录的每日日志，最早可追溯到 1 月 26 日，当时数据库已被保护。 另见: 欧盟限制美国卫星运营商接入频谱.

Jayaseelan 未透露 Dexiga 是否有技术手段（如访问日志）来判断在数据库暴露于互联网期间是否有其他人访问过。Jayaseelan 也未透露 Dexiga 是否已向 WinStar 通知了此次安全漏洞，或者是否会通知受影响的客户其信息已遭泄露。目前尚不清楚此次数据泄露导致多少人的个人数据曝光。
Desiga 回应称：“我们正在进一步调查该事件，持续监控我们的 IT 系统，并将在未来采取必要行动。” 另见: FCC 要求美国海底电缆登陆须获许可.

延伸阅读：三星 Galaxy S24 系列相机泄露引发像素数与变焦范围争议