Kumarhane tesisi devi WinStar için telefon uygulamasını geliştiren girişim, müşterilerin özel bilgilerini açık internete sızdıran açık bir veritabanını güvence altına aldı.
Oklahoma merkezli WinStar, metrekare açısından kendisini “dünyanın en büyük kumarhanesi” olarak tanıtıyor. Kumarhane ve otel tesisi aynı zamanda konukların otel konaklamaları sırasında self-servis seçeneklere, ödül puanlarına, sadakat avantajlarına ve kumarhane kazançlarına erişebilecekleri My WinStar adlı bir uygulama da sunmaktadır.
Uygulama, Dexiga adlı bir Nevada yazılım girişimi tarafından geliştirildi.
Girişim, günlük veritabanlarından birini şifresiz olarak internette bıraktı ve bu sayede genel IP adresini bilen herkesin, yalnızca kendi web tarayıcısını kullanarak içinde saklanan WinStar müşteri verilerine erişmesine olanak tanıdı.
TechCrunch’ın şirketi güvenlik açığı konusunda uyarmasının ardından Dexiga veritabanını çevrimdışına aldı.
Anurag Senİnternette yanlışlıkla açığa çıkan hassas verileri keşfetme becerisine sahip iyi niyetli bir güvenlik araştırmacısı, kişisel bilgiler içeren veritabanını buldu, ancak başlangıçta veritabanının kime ait olduğu belli değildi.
Sen, kişisel verilerin tam isimleri, telefon numaralarını, e-posta adreslerini ve ev adreslerini içerdiğini söyledi. Sen, sahibinin belirlenmesine ve güvenlik açığının ortaya çıkarılmasına yardımcı olmak için açığa çıkan veritabanının ayrıntılarını TechCrunch ile paylaştı.
TechCrunch açığa çıkan bazı verileri inceledi ve Sen’in bulgularını doğruladı. TechCrunch’ın tespitine göre veritabanında ayrıca kişinin cinsiyeti ve kullanıcının cihazının IP adresi de bulunuyordu.
Verilerin hiçbiri şifrelenmedi, ancak bir kişinin doğum tarihi gibi bazı hassas veriler düzenlendi ve yıldız işaretleriyle değiştirildi.
TechCrunch tarafından ifşa edilen veriler üzerinde yapılan incelemede, Dexiga’nın kurucusu Rajini Jayaseelan ile ilişkili dahili bir kullanıcı hesabı ve şifresi bulundu.
Dexiga’nın web sitesi, teknoloji platformunun My WinStar uygulamasını desteklediğini söylüyor.
Şüpheli sızıntının kaynağını doğrulamak için TechCrunch, My WinStar uygulamasını bir Android cihaza indirip yükledi ve TechCrunch tarafından kontrol edilen bir telefon numarasını kullanarak kaydoldu. Bu telefon numarası anında açığa çıkan veritabanında göründü ve veritabanının My WinStar uygulamasına bağlı olduğunu doğruladı.
TechCrunch, Jayaseelan ile temasa geçti ve açığa çıkan veritabanının IP adresini paylaştı. Kısa bir süre sonra veritabanına erişilemez hale geldi.
Bir e-postada Jayaseelan, Dexiga’nın veritabanını güvence altına aldığını ancak veritabanının “kamuya açık bilgiler” içerdiğini ve hiçbir hassas verinin ifşa edilmediğini iddia ettiğini söyledi.
Dexiga, olayın Ocak ayında bir kütük taşınmasından kaynaklandığını söyledi. Dexiga, veritabanının ne zaman açığa çıktığına dair kesin bir tarih vermedi. Açığa çıkan veritabanı, güvenliğinin sağlandığı tarihte 26 Ocak’a kadar uzanan sürekli günlük günlükleri içeriyordu.
Jayaseelan, Dexiga’nın, internete açıkken veritabanına başka birinin erişip erişmediğini belirlemek için erişim kayıtları gibi teknik araçlara sahip olup olmadığını söylemedi. Jayaseelan ayrıca Dexiga’nın WinStar’a güvenlik açığını bildirip bildirmediğini veya Dexiga’nın etkilenen müşterilere bilgilerinin açığa çıktığı konusunda bilgi verip vermeyeceğini söylemedi. Veri sızıntısı nedeniyle kaç kişinin kişisel verilerinin açığa çıktığı henüz bilinmiyor.
Dexiga yanıt olarak, “Olayı daha ayrıntılı olarak araştırıyoruz, BT sistemlerimizi izlemeye devam ediyoruz ve buna göre gelecekte gerekli önlemleri alacağız” dedi.
WinStar’ın genel menajeri Jack Parkinson, TechCrunch’ın yorum isteyen e-postalarına yanıt vermedi.
TechCrunch’ta daha fazlasını okuyun:
Kaynak: https://techcrunch.com/2024/02/09/winstar-hotel-casino-app-exposed-customer-personal-data/