IT-Sicherheitsexpertin und Profi-Hackerin Lilith Wittmann enthüllt riesige Datenpanne bei Online Casinos von Merkur Group
- Massive IT-Schwachstelle bei verschiedenen Glücksspiel-Websites der Merkur Group aufgedeckt
- Millionen sensibler Kundendaten wie Bankdaten und Personalausweise ungeschützt für Hacker zugänglich
- Merkur Group hält sich bedeckt und Glücksspielbehörde leitet Ermittlungen ein
Die Profi-Hackerin Lilith Wittmann hat ein Datenleck bei einem großen Glücksspielunternehmen aufgedeckt. © Martin Moerke/Wikipedia
Merkur-Websites gehen nach Datenleck offline
Auf diversen Glücksspiel-Websites der Merkur Group soll am Wochenende eine schwerwiegende Sicherheitslücke aufgetreten sein. Wie die IT-Sicherheitsexpertin Lilith Wittmann in einem Blogbeitrag berichtet, hätten Hacker auf zahlreiche sensible Kundendaten zugreifen können – darunter Bankverbindungen und Scans von Personalausweisen.
Eine unzureichend geschützte Programmierschnittstelle der Software-Firma The Mill Adventure Ltd. mit der Bezeichnung GraphQL API sei für das Datenleck verantwortlich gewesen. Die Gemeinsame Glücksspielbehörde der Länder (GGL) habe das Unternehmen öffentlich abgemahnt.
Nach Bekanntwerden seien die betroffenen Plattformen – darunter Crazybuzzer, Merkur Bets und Slotmagie – vorübergehend in den Wartungsmodus versetzt worden. Die Merkur Group habe bislang nur eine knappe Stellungnahme abgegeben und von “technischen Problemen” gesprochen.
Wittmann möchte die Daten für Forschungszwecke nutzen
Die IT-Sicherheitsexpertin habe das Datenleck zwar als “Desaster für die User”, aber auch als “Datenschatz für die Forschung” bezeichnet. Sie habe erklärt, 200 GB an Nutzerdaten sichergestellt zu haben, die sie für statistische Zwecke auswerten wolle. Die GGL sei ihrer Meinung nach trotz erfolgter Ankündigung nicht kooperativ genug, um die Glücksspielforschung voranzutreiben.
Erste Analysen des Datenmaterials hätten laut Wittmann ergeben, dass bei den betroffenen Anbietern ein geringer Anteil der Spieler für einen Großteil der Umsätze verantwortlich sei. Es scheint also eine Gruppe von Spielern zu geben, die sehr häufig und mit hohen Einsätzen spielt.
Unter Umständen könnte diese Erkenntnis im Zusammenhang mit den jüngst kritisierten Erhöhungen von Einzahlungslimits stehen, die auf eine angebliche Geheimabsprache zurückgehen sollen.
Werden die Nutzer entschädigt?
Experten hätten davor gewarnt, dass möglicherweise nicht nur Wittmann das Datenleck genutzt habe. Eine Verbreitung der Daten im Darknet könne nicht ausgeschlossen werden. Die betroffenen Nutzer seien dazu aufgefordert, ihre Bankkonten auf ungewöhnliche Transaktionen zu überprüfen und den Vorfall den zuständigen Datenschutzbehörden zu melden.
Die GGL habe Ermittlungen aufgenommen und fordere eine detaillierte Aufklärung durch den Betreiber. Ob betroffene Kunden infolgedessen eine Entschädigung erhalten oder rechtliche Schritte gegen das Unternehmen eingeleitet werden, die eine Strafzahlung an die GGL zur Folge haben könnten, bleibt abzuwarten.
