19 millones de perfiles de WeChat y la geolocalización de menores: las consecuencias de la negligencia del fabricante de máquinas de juego Wahlap
Se filtraron los datos de casi 19 millones de usuarios de máquinas tragamonedas.
Las máquinas recreativas de Wahlap podrían haber sido la fuente de una filtración masiva de datos. Estuvieron disponibles públicamente casi 18,9 millones de registros con nombres, números de teléfono, fechas de nacimiento, identificadores de WeChat y datos sobre a qué jugaban los usuarios y dónde ponían en marcha las máquinas.
La china Wahlap es considerada una de las mayores fabricantes de máquinas recreativas del mundo. La empresa colabora con Sega, Warehouse of Games, Timezone y otras cadenas de entretenimiento. Según Cybernews, el 19 de marzo especialistas encontraron tres servidores abiertos de Wahlap en los que funcionaba un clúster Elasticsearch. El acceso a los datos permaneció abierto al menos hasta el 18 de mayo de 2026, después de lo cual se cerró el clúster.
En total se encontraron 18,9 millones de registros en la red. Entre ellos había datos de usuarios de Wahlap, información sobre su actividad de juego, cupones, aplicaciones y registros del sistema. La sección más grande ocupaba más de 10 GB y contenía casi 7,9 millones de registros de usuarios. Incluía 6,6 millones de Union ID únicos, 1,7 millones de números de teléfono únicos, así como 24 000 fechas de nacimiento y nombres completos.
Union ID — identificador permanente del usuario en el ecosistema de WeChat. El identificador permite a los desarrolladores reconocer a la misma persona en distintas miniaplicaciones, cuentas oficiales y aplicaciones móviles. Los expertos creen que los datos podrían haber salido a través de las miniaplicaciones de Wahlap dentro de WeChat, que probablemente se usaban para el pago de los juegos.
Llama especialmente la atención la parte de los datos sobre menores. En los registros abiertos se encontraron alrededor de 3 800 perfiles de niños y adolescentes con información personal, incluyendo nombres, fechas de nacimiento y datos de geolocalización.
Un conjunto separado describía el comportamiento de juego de los usuarios. En 1,3 millones de registros se incluyeron datos sobre lugares favoritos, las últimas máquinas en las que jugaron, la frecuencia de lanzamiento de juegos individuales y la actividad general. Casi 2 millones de registros más se referían a cupones y otros activos digitales de los usuarios.
Los expertos no encontraron pruebas de que los delincuentes ya hayan utilizado la base. Pero servidores abiertos similares son escaneados regularmente por programas automáticos que buscan datos accesibles y los copian. Ese conjunto de información ayuda a elaborar perfiles precisos de las personas, a seleccionar mensajes de phishing convincentes y a emplear técnicas de ingeniería social. La presencia de datos de geolocalización también aumenta el riesgo de vigilancia y persecución de los usuarios.