« Quand le jeu devient sérieux, c’est souvent là que les bugs entrent en scène. » Un dicton qui s’applique à merveille à la situation cocasse du géant des casinos WinStar, dont l’application mobile s’est faite épingler pour un léger problème de sécurité. Non, ce n’est pas un nouveau tour de magie pour diversifier les attractions, mais bien une base de données un peu trop bavarde!
Situé en Oklahoma, WinStar se targue d’être le casino le plus grand du monde. Mais cette fois, c’est leur appli My WinStar qui fait parler d’elle. L’outil permettait aux clients de gérer leur séjour, leurs points de fidélité et leurs gains au casino, tout cela du bout des doigts. Enfin, quand les données personnelles ne partaient pas se faire dorer la pilule sur Internet!
Développée par la startup névadienne Dexiga, l’application a vu une de ses bases de données de logs jouer les enfants prodiges en partant à l’aventure sur la toile sans la moindre petite protection. En gros, tout un chacun pouvait y jeter un œil rien qu’en ayant la bonne adresse IP sous le coude. Pas besoin d’être hacker, un simple coup de navigateur suffisait pour repérer les petits secrets des clients du WinStar.
Un peu comme des cartes dévoilées par mégarde, la base de données détenait tous les as – ou presque.
Une fois alertée par les fins limiers de TechCrunch, Dexiga a rapatrié sa base de données égarée dans l’ombre du web. Anurag Sen, chercheur en sécurité de son état, a flairé le pot aux roses – ou plutôt la base de données – où grouillaient noms complets, numéros de téléphone, adresses email et physiques des individus.
Certains diront que tout cela est de l’eau de Vegas sous le pont puisque Dexiga assure que rien de sensible n’était réellement visible. Mais entre nous, même si les dates de naissance jouaient à cache-cache sous des astérisques, la partie n’était pas vraiment gagnée. Et pour couronner le tout, TechCrunch a découvert un compte interne lié au fondateur de Dexiga avec un mot de passe en prime!
Jayaseelan de Dexiga a joué sa meilleure carte en bloquant l’accès à la base de données après que TechCrunch lui ait transmis l’adresse IP indiscrète. Pour la petite histoire, ils ont même vérifié la fuite en s’inscrivant sur l’appli. Et magie noire ou pas, leur numéro est apparu illico presto dans le fameux registre éventé.
Malgré les esquives magistrales de Dexiga sur les détails croustillants de l’incident, on peut dire que cette partie de cache-cache de données reste assez floue. Nombre d’individus concernés, notification des clients, réelles mesures de sécurité… On attend toujours de voir la couleur des jetons promis par Dexiga.
Quant à WinStar, le pilier tranquille du divertissement, il opte pour le silence radio, un vrai poker face. Et c’est là que le bât blesse : dans cette partie de roulette russe informatique, on est loin d’être tous sur la même longueur d’onde. À la prochaine révélation, espérons que ce ne sera pas un coup de dés qui décide de la sécurité des données!
Source : Techcrunch