Een online casino groep uit Curaçao en Cyprus hebben informatie gelekt van meer dan 108 miljoen wedtransacties. Daaronder valt onder meer persoonlijke informatie, stortingen en opnames van de casino's. Justin Paine ontdekte het lek als eerste. Justin Paine is een beveiligingsonderzoeker voor Cloudfare. Het gaat om de volgende casino's: Easybet.com, Kahunacasino.com, Azur-casino.com en Viproomcasino.net. Deze casino's zijn eigendom van TGI Entertainment NV (Curaçao), Mountberg Limited Casinos (Cyprus) en Danguad Limited (Cyprus).
Weten we wat van de wedtransacties gelekt is?
Zelf omschrijft de onderzoeker de vondst als: "Another day, another data leak". Voor een leek lijkt de ontdekking onthutsend. Voor een onderzoeker van Cloudfare is dit dagelijkse kost. Van 108.025.616 inzetten van verschillende online casino zijn de volgende gegevens van de wedtransacties gelekt:
- voornaam
- achternaam
- adres
- creditcard
- telefoonnummer
- geboortedatum
- ip adressen
- saldo
- hoogte van de inzet
- e-mailadres
- laatste login
- gebruikersnaam
In principe kon alle gerelateerde informatie van de weddenschappen gevonden worden. Deze informatie werd opgeslagen op de Elastic Search server. Een dergelijke server wordt door de casino's gebruikt voor het indexeren en zoeken. Deze server was echter niet beveiligd met een wachtwoord, waardoor de data gestolen kon worden. Normaal gesproken worden deze servers op interne netwerken geïnstalleerd, waarbij er geen contact met de buitenwereld mogelijk is. Helemaal omdat de meeste gevoelige informatie op de server is opgeslagen.
Gevoeligheid van deze informatie
Het is gebruikelijk onder hackers om dit soort databestanden per opbod op de zwarte markt te verkopen. Daarbij zijn creditcardgegevens het meest waard, in combinatie met andere persoonsgegevens. In andere landen voeren de criminelen transacties met de de creditcard uit. De gevoeligheid van de hoogte van gewonnen bedragen is voor criminelen erg interessant in verband met afpersing, inbraak of diefstal. Voor alle personen in de database kan het simpele inloggen al leiden tot chantage. Niet iedereen wil bij het gezin, familie, vrienden of bekenden als een notoire gokker te boek komen te staan. Zo kunnen we nog wel even doorgaan. De genoemde gegevens zijn uiterst gevoelige informatie.
Alle casino's op dezelfde licentie in Curaçao
Alle casino's waar dit probleem werd gevonden maakten gebruik van hetzelfde licentienummer 1668/JAZ. De licentie is uitgegeven door de overheid van Curaçao. Al eerder is geconstateerd dat er honderden online casino's van dit licentienummer gebruik maken. Wat er in de praktijk is gebeurd dat de licentiehouder Curaçao eGaming online casino's het recht heeft gegeven van deze licentie gebruik te maken. Het is onduidelijk wat de status van deze licentie is. Er zijn signalen dat er geen valide recht is om de licentie te gebruiken. Wat we wel weten is dat Curaçao eGaming, naast de licenties, ook nog veel andere diensten aan licentiehouders levert. Het zou ons dus niet verbazen dat Curaçao eGaming met het lek te maken heeft.