La principale applicazione di casinò per dispositivi Android e iOS, Clubillion, ha subito perdite di dati personali e dati sulle attività quotidiane di milioni di utenti.
L’enorme perdita di dati, avvenuta attraverso un database errato di Elasticsearch a cui avrebbero potuto accedere terze parti, è stata trovata dai ricercatori Ran Locar e Noam Rotem presso vpnMentor. I due hanno scoperto che il database dei clienti esposto, ospitato da AWS, conteneva registri tecnici per milioni di utenti dell’applicazione di giochi di casinò su scala globale.
Il database tecnico creato sul motore di ricerca è stato creato per archiviare i registri delle attività quotidiane degli utenti da applicazioni iOS e Android. È stato aggiornato con un massimo di 200 milioni di record su base giornaliera stimati fino a 50 GB di spazio. I registri sull’attività quotidiana degli utenti includevano informazioni sulla creazione dell’account dei giocatori, le loro entrate in un gioco, la cronologia delle loro vincite e perdite, gli aggiornamenti dei loro account. Oltre a ciò, i registri includevano anche informazioni di identificazione personale (PII), come indirizzi e-mail, indirizzi IP, messaggi privati e informazioni relative alle vincite dei clienti.
Secondo i due ricercatori che hanno trovato la perdita di dati, Clubillion ha attualmente un numero enorme di utenti sul territorio europeo. Loro hanno rivelato che l’applicazione di giochi di casinò ha una media di 2.475 utenti attivi giornalieri nel Regno Unito, 2.407 in Italia, 1.650 utenti in Francia, 1.582 in Germania e 1.026 utenti che sono attivi ogni giorno in Spagna. L’applicazione ha anche una media di 10.000 clienti attivi giornalieri negli Stati Uniti, oltre 7.700 in Canada e 6.251 in Australia. Inoltre, milioni di persone in Austria, Romania, Polonia, Lettonia, India, Vietnam, Filippine, Indonesia, Tailandia, ecc., usa Clubillion.
L’accesso del pubblico al database esposto è stato chiuso intorno al 5 aprile
Il database esposto è stato trovato dai summenzionati ricercatori sulla sicurezza il 19 marzo, mentre l’accesso pubblico al database è stato completamente chiuso intorno al 5 aprile, dopo che entrambi hanno raggiunto AWS dopo non essere riusciti a ottenere una risposta dagli sviluppatori dell’app di giochi di casinò, che hanno contattato il 23 marzo. Secondo i rapporti, i registri delle attività quotidiane e le informazioni personali di persone provenienti da tutto il mondo sono stati esposti a terzi.
Lo strumento vpnMentor ha spiegato che le applicazioni di gioco d’azzardo e casinò spesso non sono abbastanza trasparenti, il che potrebbe rendere difficile scoprire quali misure sono effettivamente prese dal loro sviluppatore per proteggere i dati dei loro clienti e impedire ai criminali informatici di raggiungere database come quello trapelato. Secondo uno studio che ha coinvolto 23.000 applicazioni di gioco d’azzardo gratuite, 3.200 di queste app hanno rappresentato un rischio moderato per i loro clienti; 379 di loro avevano affrontato alcuni punti deboli di sicurezza, mentre 52 contenevano software dannoso.
Se Clubillion fosse stato utilizzato dai criminali informatici per incorporare software dannoso sul dispositivo mobile di un cliente, i criminali potevano accedere ai dati degli utenti da altre applicazioni, messaggi di testo, informazioni sulle chiamate e file archiviati sul dispositivo. L’azienda ha inoltre osservato che l’impatto della perdita di dati potrebbe essere ancora peggiore, considerando la situazione attuale, in cui molte persone in tutto il mondo sono ancora bloccate a causa della pandemia di Covid-19.
vpnMentor ha anche spiegato che varie truffe di phishing potrebbero trarre vantaggio da specifici dati trapelati fornendo loro accesso a informazioni come errori di transazione dai pagamenti con carta effettuati attraverso l’app di giochi di casinò. Gli hacker potrebbero ottenere ancora più informazioni personali e finanziarie ottenendo l’accesso alle e-mail degli utenti o inducendo i clienti a installare software dannoso sui loro dispositivi.
Secondo vpnMentor, il rischio più grave per l’app di giochi di casinò Clubillion è la perdita di giocatori, poiché una tale perdita di dati potrebbe respingere molti giocatori dall’applicazione. Oltre a ciò, l’azienda potrebbe anche essere sottoposta a un maggiore controllo da parte di Google Play e dell’App Store di Apple, per non parlare delle possibili azioni normative GDPR.
