Revelan la filtración de 108 millones de apuestas desde un servidor

Un grupo de casinos en línea con sede en Chipre y la isla caribeña de Curazao dejó información sobre 108 millones de apuestas expuestas en su servidor, antes de que se diera de baja.

ZDNet informó que el servidor de Elasticsearch, utilizado por los sitios web para fines de indexación y búsqueda, en general instalado en redes internas, se había quedado desprovisto de contraseña, lo que permitía filtrar los datos. El investigador sobre seguridad Justin Paine se había encontrado con el servidor expuesto, por el cual determinó que los datos procedían de un grupo de apuestas online que administra múltiples sitios web. Los juegos incluían "cartas clásicas y juegos de slots", entre otros tipos, según informa el portal.

Entre los dominios nombrados se encuentran kahunacasino.com, azur-casino.com, easybet.com y viproomcasino.net, pertenecientes a varias compañías, algunas de ellas ubicadas en el mismo edificio en Limassol, Chipre. Otras operaban bajo el mismo número de licencia emitido por el gobierno de Curazao. La información de las apuestas incluía operaciones actuales, ganancias, depósitos y retiros. Los detalles de pago estaban disponibles en forma "parcialmente redactada".

Con esa información se vincularon nombres, domicilios, direcciones de correo electrónico, números de teléfono, cumpleaños, nombres de usuario, saldos de cuentas, direcciones IP, detalles del navegador y del sistema operativo, la hora del último inicio de sesión, y los juegos utilizados.

ZDNet contactó a los portales online mencionados en los datos, y un portavoz de Mountberg Limited fue el único que respondió la solicitud de comentarios hasta el momento de publicación. Agradeció a Justin Paine no sólo por identificar el problema, sino también por intentar ayudarlos a resolverlo: "Este descubrimiento nos permitió tomar medidas inmediatas para proteger la información de nuestros clientes, evitando cualquier posible propagación de datos".

De esa forma, aseguró que pudieron actuar a tiempo y evitar que se expusieran o filtraran datos confidenciales. "Este evento debe beneficiar a nuestra compañía y a la industria de iGaming en general en el futuro. Trabajamos en un entorno tecnológico dinámico y en constante cambio que avanza a un ritmo acelerado. La seguridad cibernética es un elemento vital de todas las empresas en línea en este paradigma tecnológico actual". 

Por su parte, Paine indicó que el servidor se desconectó: "Finalmente se cayó. No está claro si el cliente lo eliminó o si OVH (el proveedor de servicios cloud) lo desactivó en lugar de ellos". Si bien hay varios casinos con licencia land-based que operan en Chipre, el juego online sigue limitado a las apuestas deportivas. La Junta de Control de Juegos de Azar (GCB, en inglés) de Curazao, que anteriormente se limitaba a la regulación de las operaciones en tierra, anunció que agregaría también juegos de azar online a su supervisión.

En los últimos años, Curazao lideró el ranking entre las jurisdicciones predilectas de los operadores de juego online. En ello incidía el hecho de que el Ministerio de Justicia entregaba las licencias sin los controles específicos requeridos para la actividad. Pero el Poder Ejecutivo decidió a principios de año que el organismo competente sea el Ministerio de Finanzas, del que depende la GCB.