O principal aplicativo de jogo de cassino para dispositivos Android e iOS Clubillion vazou dados pessoais e dados de atividades aprendidas de milhões de usuários.

O enorme vazamento de dados, que aconteceu via um banco de dados mal configurado do Elasticsearch que poderia ter sido acessado por terceiros, foi encontrado pelo investigador Ran Locar e Noam Rotem no vpnMentor . Os dois descobriram que o banco de dados de clientes hospedados na AWS, que foi exposto, continha informações técnicas logs para milhões de usuários do aplicativo de jogo de cassino em uma escala global.

O banco de dados técnico construído no mecanismo de busca foi configurado para armazenar logs da atividade diária dos usuários de aplicativos iOS e Android. Foi atualizado com até 200 milhões de registros diariamente que foram estimados em até 50 GB de espaço. O registros sobre a atividade diária dos usuários incluía informações sobre a criação da conta dos jogadores, suas entradas em um jogo, o histórico de suas vitórias e derrotas, como atualizações de suas contas. Além disso, os logs também incluíam Informação emocional (PII) , como endereços de e-mail, endereços IP, mensagens privadas e informações sobre os ganhos dos clientes.

De acordo com os dois investigadores que descobriram o vazamento de dados que o Clubillion tem atualmente um grande número de usuários no território da Europa . Eles revelaram que o aplicativo de jogo de cassino tem uma média de 2.475 usuários ativos diariamente no Reino Unido, 2.407 na Itália, 1.650 usuários na França, 1.582 na Alemanha, além de 1.026 usuários ativos todos os dias na Espanha. O aplicativo também tem uma média de 10.000 clientes ativos diários nos EUA, mais de 7.700 no Brasil e 6.251 no Brasil. Milhões de pessoas na Áustria, Romênia, Polônia, Letônia, Índia, Vietnã, Filipinas, Indonésia, Tailândia, etc. também usam o Clubillion.

O acesso público ao banco de dados expostos foi bloqueado por volta de 5 de abril

O banco de dados exposto foi encontrado pelo pesquisador de segurança mencionado acima em 19 de março , enquanto o acesso público ao banco de dados foi totalmente fechado por volta de 5 de abril, depois que os dois chegaram à AWS, mas não antes de falhou em obter uma resposta dos desenvolvedores do aplicativo de jogo de cassino , com quem contaram em 23 de março. Segundo relatos, os registros de atividades alcançam e informações pessoais de pessoas de todo o mundo foram expostas a terceiros.

A ferramenta vpnMentor explicou que aplicativos de jogos de azar e cassino geralmente não são transparentes o suficiente , o que pode dificultar descobrir quais medidas são realmente tomadas por seu desenvolvedor para proteger os dados de seus clientes e impedir que cibercriminosos acessem bancos de dados como o que vazou. De acordo com um estudo que envolveu 23.000 aplicativos de jogo grátis, 3.200 desses aplicativos representavam um risco moderado para seus clientes; 379 deles enfrentaram certas falhas de segurança, enquanto 52 deles continham software malicioso.

Caso o Clubillion tenha sido usado por cibercriminosos para incorporar software malicioso no dispositivo móvel de um cliente , dados de usuários de outros aplicativos, mensagens de texto, informações de chamadas e arquivos armazenados no dispositivo podem ter sido acessados ​​por criminosos. A empresa observou ainda que o impacto do vazamento de dados pode ser ainda pior, considerando a situação atual, onde muitas pessoas em todo o mundo ainda estão trancadas por causa da pandemia de Covid-19.

vpnMentor também explicou que vários golpes de phishing podem tirar proveito de dados vazados específicos fornecendo-lhes acesso a informações como erros de transação de pagamentos com cartão realizado através do aplicativo de jogos de cassino. Os hackers podem obter ainda mais informações pessoais e obter acesso aos e-mails dos usuários ou enganando os clientes para instalação de software malicioso em seus dispositivos.

De acordo com o vpnMentor, o risco mais sério para o aplicativo de jogo do cassino Clubillion é a perda de jogadores , pois um vazamento maciço de dados pode evitar muitos jogadores fora do aplicativo. Além disso, a empresa também pode enfrentar mais escrutínio do Google Play e da Apple App Store , para não mencionar possível Ação regulatória do GDPR .