كشف تطبيق “أكبر كازينو في العالم” عن البيانات الشخصية للعملاء

قامت الشركة الناشئة التي تطور تطبيق الهاتف لعملاق منتجع الكازينو WinStar بتأمين قاعدة بيانات مكشوفة كانت تنقل المعلومات الخاصة للعملاء إلى الويب المفتوح.

تعتبر شركة WinStar التي يقع مقرها في أوكلاهوما نفسها “أكبر كازينو في العالم” من حيث المساحة بالقدم المربع. يقدم الكازينو والمنتجع الفندقي أيضًا تطبيق My WinStar، والذي يمكن للضيوف من خلاله الوصول إلى خيارات الخدمة الذاتية أثناء إقامتهم في الفندق، ونقاط المكافآت ومزايا الولاء، ومكاسب الكازينو.

تم تطوير التطبيق من خلال شركة ناشئة للبرمجيات في ولاية نيفادا تسمى Dexiga.

تركت الشركة الناشئة إحدى قواعد بيانات التسجيل الخاصة بها على الإنترنت بدون كلمة مرور، مما يسمح لأي شخص لديه معرفة بعنوان IP العام الخاص بها بالوصول إلى بيانات عميل WinStar المخزنة داخله باستخدام متصفح الويب الخاص به فقط.

قامت Dexiga بإيقاف قاعدة البيانات عن العمل بعد أن نبهت TechCrunch الشركة إلى الثغرة الأمنية.

أنوراغ سين، وهو باحث أمني حسن النية ولديه موهبة في اكتشاف البيانات الحساسة المكشوفة عن غير قصد على الإنترنت، وجد قاعدة البيانات التي تحتوي على معلومات شخصية، ولكن لم يكن من الواضح في البداية الجهة التي تنتمي إليها قاعدة البيانات.

وقال سين إن البيانات الشخصية تتضمن الأسماء الكاملة وأرقام الهواتف وعناوين البريد الإلكتروني وعناوين المنازل. شارك سين تفاصيل قاعدة البيانات المكشوفة مع TechCrunch للمساعدة في تحديد مالكها والكشف عن الثغرة الأمنية.

قامت TechCrunch بفحص بعض البيانات المكشوفة والتحقق من النتائج التي توصل إليها سين. ووجدت TechCrunch أن قاعدة البيانات تحتوي أيضًا على جنس الفرد وعنوان IP الخاص بجهاز المستخدم.

لم يتم تشفير أي من البيانات، على الرغم من تنقيح بعض البيانات الحساسة – مثل تاريخ ميلاد الشخص – واستبدالها بعلامات نجمية.

وجدت مراجعة للبيانات المكشوفة بواسطة TechCrunch حساب مستخدم داخلي وكلمة مرور مرتبطة بمؤسس Dexiga Rajini Jayaseelan.

يقول موقع Dexiga الإلكتروني إن منصته التقنية تعمل على تشغيل تطبيق My WinStar.

لتأكيد مصدر التسرب المشتبه به، قامت TechCrunch بتنزيل تطبيق My WinStar وتثبيته على جهاز Android والتسجيل باستخدام رقم هاتف يتحكم فيه TechCrunch. وظهر رقم الهاتف هذا على الفور في قاعدة البيانات المكشوفة، مما يؤكد أن قاعدة البيانات مرتبطة بتطبيق My WinStar.

اتصلت TechCrunch بـ Jayaseelan وشاركت عنوان IP لقاعدة البيانات المكشوفة. أصبحت قاعدة البيانات غير قابلة للوصول بعد وقت قصير.

وفي رسالة بالبريد الإلكتروني، قال جاياسيلان إن Dexiga قام بتأمين قاعدة البيانات لكنه ادعى أن قاعدة البيانات تحتوي على “معلومات متاحة للعامة” ولم يتم الكشف عن أي بيانات حساسة.

وقال ديكسيجا إن الحادث نتج عن هجرة جذوع الأشجار في يناير. لم تقدم Dexiga تاريخًا محددًا عندما أصبحت قاعدة البيانات مكشوفة. تحتوي قاعدة البيانات المكشوفة على سجلات يومية متجددة يعود تاريخها إلى 26 يناير في وقت تأمينها.

ولم يوضح Jayaseelan ما إذا كانت Dexiga تمتلك الوسائل التقنية، مثل سجلات الوصول، لتحديد ما إذا كان أي شخص آخر قد وصل إلى قاعدة البيانات أثناء تعرضها للإنترنت. لم يذكر Jayaseelan أيضًا ما إذا كانت Dexiga قد أخطرت WinStar بالثغرة الأمنية، أو ما إذا كانت Dexiga ستبلغ العملاء المتأثرين بأن معلوماتهم قد تم الكشف عنها. ليس من المعروف على الفور عدد الأفراد الذين تم الكشف عن بياناتهم الشخصية من خلال تسرب البيانات.

وقال Dexiga ردًا على ذلك: “إننا نجري مزيدًا من التحقيقات في الحادث، ونواصل مراقبة أنظمة تكنولوجيا المعلومات لدينا، وسنتخذ الإجراءات المستقبلية اللازمة وفقًا لذلك”.

لم يستجب جاك باركنسون، المدير العام لشركة WinStar، لرسائل البريد الإلكتروني الخاصة بـ TechCrunch التي تطلب التعليق.

اقرأ المزيد عن تك كرانش: