Un opérateur de jeux en ligne du Curaçao laisse fuir des informations sur les joueurs

Des détails sensibles sur des joueurs de casinos appartenant à la société chypriote Mountberg Ltd. n’ont pas été protégés, selon un chercheur en sécurité.

Un opérateur de casino en ligne licencié au Curaçao a accidentellement divulgué des informations sensibles sur des joueurs, a rapporté ZDNet, citant le chercheur en sécurité Justin Paine, qui a découvert la fuite.

Les données ont fui d’un serveur ElasticSearch qui a été exposé en ligne sans protection par mot de passe. Les informations divulguées comprenaient les détails personnels des joueurs ainsi que des informations sur les dépôts et retraits liés à plus de 108 millions de paris effectués sur des sites web appartenant au groupe de jeux en ligne.

M. Paine a dit à ZDNet qu’il avait découvert le serveur non protégé la semaine dernière. Il a expliqué que le serveur ne demandé aucune authentification pour accéder aux informations sensibles qu’il contenait. Il était clair pour le chercheur en sécurité que le serveur contenait des informations sur les opérations de jeu en ligne.

ElasticSearch est un moteur de recherche que les entreprises utilisent pour améliorer l’indexation des données et les capacités de recherche. Les serveurs ElasticSearch sont installés sur des réseaux internes et il est assez surprenant que leur accès en ligne ne soit pas sécurisé car ils contiennent les données les plus sensibles d’un client.

Après des recherches supplémentaires, M. Paine a été en mesure de confirmer que tous données exposées sur le serveur concernaient le casino en ligne et les opérations de paris. L’information divulguée comprenait les noms réels des joueurs, leurs adresses domiciliaire et électronique, leurs numéros de téléphone, leur date de naissance, le solde de leur compte, leur adresse IP, etc.

M. Paine a découvert environ 108 millions d’enregistrements de paris, gains, dépôts et retraits. Les données de dépôt et de retrait comprenaient des détails sur les cartes de paiement enregistrées des joueurs. Toutefois, M. Paine a fait remarquer que les détails des cartes de paiement ont été partiellement cachés et qu’ils n’exposaient pas tous les détails financiers des joueurs.

Les casinos dans le serveur qui fuit

En creusant davantage sur l’incident, M. Paine a découvert que la fuite contenait des informations sur les personnes jouant au Kahuna Casino, EasyBet, et VIP Room Casino et casino unique parmi d’autres casinos en ligne.

Kahuna Casino et VIP Room Casino sont tous deux la propriété de Mountberg Limited, une société basée à Chypre et avec licence à Curaçao. Quant à Unique Casino, il opère sous la même licence que les deux premiers, bien qu’une autre société soit cotée comme son propriétaire. Néanmoins, les informations disponibles sur les casinos ci-dessus montrent qu’ils appartiennent à la même entité.

Les représentants de Mountberg n’ont pas fait de commentaires sur la question et on ne sait pas depuis combien de temps les renseignements de nature délicate au sujet de ses joueurs n’ont pas été protégés, combien de joueurs ont été touchés et qui d’autre que M. Paine a pu accéder au serveur et aux données.

Le serveur non protégé a été éteint suite aux partage de l’article de ZDNet. M. Paine a confirmé qu’il était finalement tombé, mais a dit qu’on ne savait pas si le client l’avait enlevé lui-même ou si le pare-feu de l’hébergeur l’avait enlevé.

Add Comment