La startup qui développe l’application téléphonique pour le géant des casinos WinStar a sécurisé une base de données exposée qui diffusait les informations privées des clients sur le Web ouvert.
WinStar, basé en Oklahoma, se présente comme le « plus grand casino du monde » en termes de superficie. Le casino et le complexe hôtelier proposent également une application, My WinStar, dans laquelle les clients peuvent accéder aux options en libre-service pendant leur séjour à l’hôtel, à leurs points de récompense et avantages de fidélité, ainsi qu’aux gains du casino.
L’application est développée par une startup de logiciels du Nevada appelée Dexiga.
La startup a laissé l’une de ses bases de données de journalisation sur Internet sans mot de passe, permettant à toute personne connaissant son adresse IP publique d’accéder aux données client WinStar qui y sont stockées en utilisant uniquement son navigateur Web.
Dexiga a mis la base de données hors ligne après que TechCrunch a alerté l’entreprise de la faille de sécurité.
Captures d’écran de l’application My WinStar. Crédits images : Google Play (capture d’écran)
Anurag Senun chercheur en sécurité de bonne foi qui a le don de découvrir des données sensibles exposées par inadvertance sur Internet, a trouvé la base de données contenant des informations personnelles, mais il était initialement difficile de savoir à qui appartenait la base de données.
Sen a déclaré que les données personnelles comprenaient les noms complets, les numéros de téléphone, les adresses e-mail et les adresses personnelles. Sen a partagé les détails de la base de données exposée avec TechCrunch pour aider à identifier son propriétaire et à divulguer la faille de sécurité.
TechCrunch a examiné certaines des données exposées et vérifié les conclusions de Sen. La base de données contenait également le sexe d’un individu et l’adresse IP de l’appareil de l’utilisateur, a découvert TechCrunch.
Aucune des données n’était cryptée, bien que certaines données sensibles, comme la date de naissance d’une personne, aient été expurgées et remplacées par des astérisques.
Un examen des données exposées par TechCrunch a révélé un compte d’utilisateur interne et un mot de passe associés au fondateur de Dexiga, Rajini Jayaseelan.
Le site Web de Dexiga indique que sa plate-forme technologique alimente l’application My WinStar.
Pour confirmer la source du déversement suspecté, TechCrunch a téléchargé et installé l’application My WinStar sur un appareil Android et s’est inscrit à l’aide d’un numéro de téléphone contrôlé par TechCrunch. Ce numéro de téléphone est apparu instantanément dans la base de données exposée, confirmant que la base de données était liée à l’application My WinStar.
TechCrunch a contacté Jayaseelan et a partagé l’adresse IP de la base de données exposée. La base de données est devenue inaccessible peu de temps après.
Dans un e-mail, Jayaseelan a déclaré que Dexiga avait sécurisé la base de données, mais a affirmé que la base de données contenait des « informations accessibles au public » et qu’aucune donnée sensible n’avait été exposée.
Dexiga a déclaré que l’incident résultait d’une migration de journaux en janvier. Dexiga n’a pas fourni de date précise à laquelle la base de données a été exposée. La base de données exposée contenait des journaux quotidiens continus remontant au 26 janvier au moment de sa sécurisation.
Jayaseelan n’a pas voulu dire si Dexiga dispose des moyens techniques, tels que les journaux d’accès, pour déterminer si quelqu’un d’autre a accédé à la base de données alors qu’elle était exposée sur Internet. Jayaseelan n’a pas non plus précisé si Dexiga avait informé WinStar de la faille de sécurité ou si Dexiga informerait les clients concernés que leurs informations avaient été exposées. On ne sait pas immédiatement combien de personnes ont vu leurs données personnelles exposées par la fuite de données.
« Nous enquêtons plus en détail sur l’incident, continuons à surveiller nos systèmes informatiques et prendrons les mesures futures nécessaires en conséquence », a déclaré Dexiga en réponse.
Le directeur général de WinStar, Jack Parkinson, n’a pas répondu aux e-mails de TechCrunch demandant des commentaires.
En savoir plus sur TechCrunch :