Eine aktuelle Datenbank von WinStar stand mit den Namen der Kunden, Anschriften, Telefonnummern und E-Mail-Adressen ungeschützt ins Netz.
Nach eigenen Angaben ist WinStar die angeblich „größte Casino App der Welt„. Diese wird von einem Software-Startup namens Dexiga aus Nevada entwickelt, das sich auf Gaming-Apps spezialisiert hat. Dexiga hatte eine seiner Logging-Datenbanken ohne Kennwortschutz ins Internet gestellt, so dass jeder, der die öffentliche IP-Adresse kannte, mit seinem Webbrowser auf die darin gespeicherten WinStar-Kundendaten zugreifen konnte.
Zahlreiche Daten der WinStar-Kunden offen zugänglich
Man nahm die Datenbank vom Netz, nachdem die Kollegen von TechCrunch das Unternehmen auf die Sicherheitslücke aufmerksam gemacht hatte. Sicherheitsforscher Anurag Sen fand die Logging-Datenbank mit den persönlichen Informationen, wobei zunächst unklar war, zu wem die Daten gehören.
Die Datenbank enthielt auch das Geschlecht der Kunden und die IP-Adresse der Geräte der Nutzer. Immerhin hatte man einige sensible Daten wie das Geburtsdatum der WinStar-Kunden durch Sternchen ersetzt und somit anonymisiert. Techcrunch hat die Echtheit der Angaben vor der ersten Kontaktaufnahme überprüft.
Trotz der Sternchen wären die Angaben für Phisher, Spammer oder zwecks Identitätsdiebstahl für Cyberkriminelle sehr nützlich gewesen. Techcrunch fand sogar in der Logging-Datenbank das WinStar-Konto von Dexiga-Gründer Rajini Jayaseelan. Der Geschäftsführer der Betreibergesellschaft des Hotels und Casinos, Jack Parkinson, war hingegen für eine Stellungnahme per E-Mail nicht zu erreichen.
Viele Fragen, keine Antworten
In einer E-Mail schrieb Jayaseelan den Kollegen von Techcrunch, die Datenbank enthalte angeblich nur „öffentlich zugängliche Informationen“ der WinStar-Kunden, was aber nicht stimmt. Die Tagesprotokolle gingen zurück bis zum 26. Januar. Ursache des Leaks war nach eigenen Angaben eine Log-Migration im Januar diesen Jahres. Warum aber hat man die ganzen Kundendaten ungeschützt ins Netz gestellt? Details wie die Größe des Datensatzes will man nicht veröffentlichen.
Auch ob Unbefugte auf die Daten zugegriffen haben, will Dexiga nicht offenbaren. Der CEO wollte auch nicht zugeben, ob er WinStar schon wegen der Sicherheitslücke benachrichtigt hat. Somit ist noch unklar, ob man die betroffenen Kunden überhaupt wegen dem Vorfall in Kenntnis setzen wird.