Il team di ricerca di Cybernews ha scoperto che Strendus, un casinò online con licenza messicana, ha lasciato l’accesso pubblico a 85 GB dei suoi registri di autenticazione, con centinaia di migliaia di voci contenenti dati privati dei giocatori; da segnalare anche che l’istanza aperta conteneva anche dati provenienti da un altro casinò online, MustangMoney.
Quali dati sono stati trapelati da Strendus
I dati hackerati sono da Strendus i seguenti:
- Nomi utente
- Nomi
- Numeri di identificazione governativa (CURP)
- Numeri di telefono
- Indirizzi email
- Indirizzi di casa
- Date di nascita
- Sesso/Genere
- Stato KYC
- Indirizzi IP utilizzati per registrare un account
- Indirizzi IP utilizzati per effettuare il login
- Importi depositati
- Importi prelevati
- Note sugli utenti, inviate da amministratori e agenti di supporto clienti.
Nell’istanza di Elasticsearch, i ricercatori sono inciampati in 16 indici chiamati “hacked[_id]” che sono probabilmente Indicatori di Compromissione (IoC); gli IoC altro non sono che prove o dati che suggeriscono che si è verificato un incidente o una violazione della sicurezza. Ad esempio, potrebbe essere un segno di accesso non autorizzato ai registri.
Il fatto che questi indici siano stati scoperti suggerisce che l’istanza non era sotto monitoraggio regolare, mettendo a rischio gli utenti; questo è particolarmente preoccupante, poiché i casinò conservano una quantità significativa di dati dei clienti, rendendoli bersagli attraenti per i criminali informatici.
Le due piattaforme hanno raccolto una quantità estesa di dati utente per seguire le leggi sul gioco d’azzardo in Messico e rispettare le normative Know Your Customer (KYC), utilizzate per verificare l’identità degli utenti al fine di prevenire frodi, riciclaggio di denaro e altre attività illegali.
I ricercatori di Cybernews hanno scoperto l’istanza aperta il 7 aprile e hanno prontamente informato l’azienda proprietaria delle piattaforme di gioco d’azzardo; tuttavia, l’istanza è rimasta aperta fino a metà ottobre, lasciando i dati degli utenti accessibili al pubblico per un periodo prolungato. I dati sono stati indicizzati per la prima volta dai dispositivi IoT l’8 marzo 2023.
La negligenza della sicurezza informatica mette a rischio i giocatori
La mancata impostazione corretta dell’autenticazione comporta rischi significativi, poiché è sufficiente conoscere il dominio del sito web per consentire a un attaccante di accedere ai dati degli utenti.
I dati utente privati sono stati trovati nei registri delle attività che mostrano pratiche di sicurezza informatica scadenti; conservare informazioni personali nei registri dovrebbe essere evitato, poiché eleva il loro livello di sensibilità.
Le informazioni esposte in questa fuga di dati potrebbero essere sfruttate per frodi, furto di identità, tentativi di phishing o come fonte di dati per attacchi informatici mirati con precisione.
I numeri di CURP (l’equivalente del nostro codice fiscale, ma messicano) trapelati, in combinazione con altre informazioni personali, potrebbero essere utilizzati per aprire conti bancari o apportare modifiche non autorizzate sui siti web governativi a nome del titolare del numero di CURP e le note degli amministratori sugli utenti presenti nei registri trapelati potrebbero anche aiutare gli attori malintenzionati a creare un profilo e a mirare meglio gli utenti attraverso attacchi di spearphishing o altri attacchi di ingegneria sociale.
I numeri di telefono esposti possono essere sfruttati per attacchi di spam, malware e spyware, per scambiare la SIM e per scoprire account utente su piattaforme come WhatsApp, Signal e altre.
Gli indirizzi IP trapelati introducono il rischio di un takeover di una rete locale; gli indirizzi IP sono utilizzati per garantire che le comunicazioni su Internet vengano inviate e ricevute dal dispositivo previsto e se gli attaccanti conoscono gli IP, potrebbero lanciare attacchi DDoS e cercare porte aperte che, se trovate, potrebbero potenzialmente concedere l’accesso alla rete locale e ai dispositivi ad essa collegati.
Mettiti al riparo e non fare come Strendus
Hai utilizzato di recente i servizi di Strendus o MustangMoney? Ecco alcuni consigli per correre ai ripari in casi come questo di Strendus:
- Se abiti in Messico o per qualche arcana ragione sei residente fisso da quelle parti, dato che i numeri di CURP sono univoci non possono essere cambiati, se sei stato colpito dalla fuga, dovresti monitorare eventuali modifiche non autorizzate sui siti web governativi, tenere d’occhio il tuo punteggio di credito e assicurarti che tutti gli account che utilizzano questo numero abbiano password robuste e autenticazione a due fattori (2FA); questo vale per qualsiasi servizio, non solo Strendus e non solo casinò online, sia chiaro.
- Cambia la password dell’email: banale, dirai, ma le password robuste dovrebbero essere uniche, non essere state utilizzate in precedenza, essere lunghe almeno 12 simboli e contenere lettere maiuscole e minuscole e simboli speciali; è facile creare password robuste utilizzando uno strumento generatore di password uniche.
- Anche se le credenziali non sono state esposte, le email trapelate potrebbero rappresentare un rischio di attacchi di riempimento delle credenziali contro gli account del casinò Strendus, poiché gli attori minacciosi potrebbero utilizzare i dati trapelati da violazioni precedenti. Puoi utilizzare uno strumento di controllo delle password trapelate per sapere se una qualsiasi delle tue password è trapelata online. Assicurati che le password trapelate non vengano riutilizzate su nessuno dei tuoi account.
- Gli indirizzi email trapelati possono essere utilizzati per inviare comunicazioni non richieste, come spam o email di phishing; sarebbe meglio quindi che fai attenzione a ricevere tali email e non fare clic su nessun link sospetto nelle email.
- Assicurati che tutti gli account collegati a un numero di telefono trapelato siano protetti con password robuste e 2FA.
- Per aumentare la sicurezza, passa a utilizzare password monouso basate sul tempo (TOTP) invece di 2FA basata su SMS o cambia il numero di telefono.
- Se ritieni di poter essere a rischio aumentato di attacchi informatici diretti, è consigliabile contattare il tuo fornitore di servizi Internet e richiedere una modifica del tuo indirizzo IP per proteggere la tua rete locale.
Da ribadire che tutto ciò non vale solo per servizi di casinò come Strendus, ma per ogni servizio che online che viene bucato, fosse anche un servizio pubblico o governativo.
