Das Startup, das die Telefon-App für den Casino-Resort-Riesen WinStar entwickelt, hat eine offengelegte Datenbank gesichert, die private Daten von Kunden ins offene Internet gelangte.
Das in Oklahoma ansässige WinStar bezeichnet sich selbst als das „größte Casino der Welt“, gemessen an der Quadratmeterzahl. Das Casino- und Hotelresort bietet auch eine App an, Mein WinStarbei dem Gäste während ihres Hotelaufenthalts auf Selbstbedienungsoptionen, Prämienpunkte und Treuevorteile sowie Casino-Gewinne zugreifen können.
Die App wurde von einem Software-Startup aus Nevada namens Dexiga entwickelt.
Das Startup hinterließ eine seiner Protokollierungsdatenbanken ohne Passwort im Internet, sodass jeder, der seine öffentliche IP-Adresse kennt, nur mit seinem Webbrowser auf die darin gespeicherten WinStar-Kundendaten zugreifen kann.
Dexiga hat die Datenbank offline genommen, nachdem Tech das Unternehmen auf die Sicherheitslücke aufmerksam gemacht hatte.
Screenshots der My WinStar-App. Bildnachweis: Google Play (Bildschirmfoto)
Anurag Senein gutgläubiger Sicherheitsforscher, der ein Händchen dafür hat, versehentlich offengelegte sensible Daten im Internet zu entdecken, fand die Datenbank mit persönlichen Informationen, aber es war zunächst unklar, wem die Datenbank gehörte.
Sen sagte, zu den personenbezogenen Daten gehörten vollständige Namen, Telefonnummern, E-Mail-Adressen und Privatadressen. Sen teilte Tech Details der offengelegten Datenbank mit, um den Eigentümer zu identifizieren und die Sicherheitslücke aufzudecken.
Tech untersuchte einige der offengelegten Daten und bestätigte die Ergebnisse von Sen. Laut Tech enthielt die Datenbank auch das Geschlecht einer Person und die IP-Adresse des Geräts des Benutzers.
Keine der Daten wurde verschlüsselt, obwohl einige sensible Daten – wie etwa das Geburtsdatum einer Person – geschwärzt und durch Sternchen ersetzt wurden.
Bei einer Überprüfung der offengelegten Daten durch Tech wurden ein internes Benutzerkonto und ein Passwort gefunden, die dem Dexiga-Gründer Rajini Jayaseelan zugeordnet sind.
Auf der Website von Dexiga heißt es, dass seine Technologieplattform die My WinStar-App unterstützt.
Um die Quelle der vermuteten Leckage zu bestätigen, hat Tech die My WinStar-App heruntergeladen und auf einem Android-Gerät installiert und sich mit einer von Tech kontrollierten Telefonnummer angemeldet. Diese Telefonnummer erschien sofort in der offengelegten Datenbank und bestätigte, dass die Datenbank mit der My WinStar-App verknüpft war.
Tech kontaktierte Jayaseelan und teilte die IP-Adresse der offengelegten Datenbank mit. Kurze Zeit später war die Datenbank nicht mehr zugänglich.
In einer E-Mail sagte Jayaseelan, Dexiga habe die Datenbank gesichert, behauptete jedoch, die Datenbank enthalte „öffentlich verfügbare Informationen“ und es seien keine sensiblen Daten offengelegt worden.
Dexiga sagte, der Vorfall sei auf eine Protokollmigration im Januar zurückzuführen. Dexiga nannte kein konkretes Datum, an dem die Datenbank offengelegt wurde. Die offengelegte Datenbank enthielt fortlaufende tägliche Protokolle, die bis zum 26. Januar zurückreichten, als sie gesichert wurde.
Jayaseelan würde nicht sagen, ob Dexiga über die technischen Mittel, wie etwa Zugriffsprotokolle, verfügt, um festzustellen, ob jemand anderes auf die Datenbank zugegriffen hat, während sie dem Internet ausgesetzt war. Jayaseelan würde auch nicht sagen, ob Dexiga WinStar über die Sicherheitslücke informiert hat oder ob Dexiga betroffene Kunden darüber informieren würde, dass ihre Informationen offengelegt wurden. Es ist nicht sofort bekannt, bei wie vielen Personen personenbezogene Daten durch die Datenlecks offengelegt wurden.
„Wir untersuchen den Vorfall weiter, überwachen weiterhin unsere IT-Systeme und werden entsprechende künftige Maßnahmen ergreifen“, antwortete Dexiga.
Jack Parkinson, General Manager von WinStar, antwortete nicht auf die E-Mails von Tech mit der Bitte um Stellungnahme.
Lesen Sie mehr auf Tech: