Startup yang mengembangkan aplikasi telepon untuk raksasa resor kasino WinStar telah mengamankan database terbuka yang menyebarkan informasi pribadi pelanggan ke web terbuka.
WinStar yang berbasis di Oklahoma menyebut dirinya sebagai “kasino terbesar di dunia” berdasarkan ukuran luasnya. Kasino dan resor hotel juga menawarkan aplikasi, Bintang Win sayadi mana para tamu dapat mengakses opsi layanan mandiri selama mereka menginap di hotel, poin hadiah dan manfaat loyalitas, serta kemenangan kasino.
Aplikasi ini dikembangkan oleh startup perangkat lunak Nevada bernama Dexiga.
Startup ini meninggalkan salah satu database loggingnya di internet tanpa kata sandi, sehingga siapa pun yang mengetahui alamat IP publiknya dapat mengakses data pelanggan WinStar yang disimpan hanya dengan menggunakan browser web mereka.
Dexiga menjadikan database offline setelah TechCrunch memberi tahu perusahaan tentang kelemahan keamanan.
Tangkapan layar aplikasi My WinStar. Kredit Gambar: Google Play (tangkapan layar)
Senator Anuragseorang peneliti keamanan dengan niat baik yang memiliki kemampuan untuk menemukan data sensitif yang terekspos secara tidak sengaja di internet, menemukan database yang berisi informasi pribadi, namun pada awalnya tidak jelas milik siapa database tersebut.
Sen mengatakan, data pribadi tersebut meliputi nama lengkap, nomor telepon, alamat email, dan alamat rumah. Sen membagikan rincian database yang terekspos dengan TechCrunch untuk membantu mengidentifikasi pemiliknya dan mengungkap kelemahan keamanan.
TechCrunch memeriksa beberapa data yang terungkap dan memverifikasi temuan Sen. Basis data juga berisi jenis kelamin individu dan alamat IP perangkat pengguna, menurut temuan TechCrunch.
Tidak ada data yang dienkripsi, meskipun beberapa data sensitif – seperti tanggal lahir seseorang – telah disunting dan diganti dengan tanda bintang.
Tinjauan terhadap data yang terungkap oleh TechCrunch menemukan akun pengguna internal dan kata sandi yang terkait dengan pendiri Dexiga, Rajini Jayaseelan.
Situs web Dexiga mengatakan platform teknologinya mendukung aplikasi My WinStar.
Untuk mengonfirmasi sumber dugaan tumpahan, TechCrunch mengunduh dan menginstal aplikasi My WinStar di perangkat Android dan mendaftar menggunakan nomor telepon yang dikontrol oleh TechCrunch. Nomor telepon itu langsung muncul di database yang terbuka, mengonfirmasi bahwa database tersebut terhubung ke aplikasi My WinStar.
TechCrunch menghubungi Jayaseelan dan membagikan alamat IP database yang terekspos. Basis data menjadi tidak dapat diakses beberapa saat setelahnya.
Dalam sebuah email, Jayaseelan mengatakan Dexiga mengamankan database tersebut tetapi mengklaim database tersebut berisi “informasi yang tersedia untuk umum” dan tidak ada data sensitif yang diungkapkan.
Dexiga mengatakan kejadian tersebut diakibatkan oleh migrasi kayu pada bulan Januari. Dexiga tidak memberikan tanggal spesifik kapan database tersebut terekspos. Basis data yang terekspos berisi catatan harian yang bergulir sejak tanggal 26 Januari pada saat diamankan.
Jayaseelan tidak mengatakan apakah Dexiga memiliki sarana teknis, seperti log akses, untuk menentukan apakah ada orang lain yang mengakses database saat database tersebut terhubung ke internet. Jayaseelan juga tidak akan mengatakan apakah Dexiga telah memberi tahu WinStar tentang kelemahan keamanan tersebut, atau apakah Dexiga akan memberi tahu pelanggan yang terkena dampak bahwa informasi mereka telah terungkap. Belum diketahui secara pasti berapa banyak individu yang data pribadinya terekspos oleh kebocoran data tersebut.
“Kami sedang menyelidiki lebih lanjut insiden tersebut, terus memantau sistem TI kami, dan akan mengambil tindakan yang diperlukan di masa depan,” kata Dexiga sebagai tanggapannya.
Manajer umum WinStar Jack Parkinson tidak menanggapi email TechCrunch yang meminta komentar.
Baca lebih lanjut di TechCrunch:
