Klarnamen, Zahlungsdaten, Spielesessions und mehr – Merkur AG macht Spielerdaten von über einer Million Spielern öffentlich zugänglich
Für Furore sorgte jüngst das bekannte Casinounternehmen Merkur AG und das bei allen Nutzern von Online Casinos. Grund dafür ist eine von der Merkur AG unbeabsichtigte Veröffentlichung sämtlicher Nutzerdaten, die über einen gewissen Zeitraum für jeden frei zugänglich waren. Wichtig dabei zu wissen ist, dass innerhalb Deutschlands mehrere Casinos indirekt unter der Merkur AG betrieben werden, darunter unter anderem Slotmagie, Crazybuzzer oder Merkurbets. Indirekt deshalb, da die genannten Online-Casinos von Tochterfirmen betrieben werden, die jedoch allesamt Teil der Merkur AG sind. Im Fokus der Datenveröffentlichung steht dabei eine ganz bestimmte Casinosoftware, die auf den Namen „the mill adventures“ hört. Genau über diese Software, beziehungsweise über eine Schnittstelle innerhalb der Casinosoftware, ließen sich eine große Menge an Daten frei abfragen. Aufgrund der Tatsache, dass nahezu alle Online-Casinos unter dem Schirm der Merkur AG genau diese Software nutzen, ergibt sich eine exorbitant hohe Menge an Nutzerdaten, die frei zugänglich gemacht wurden.
Welche Daten wurden veröffentlicht?
Darauf aufmerksam gemacht hat unter anderem die Bloggerin Lilith Wittmann, die innerhalb der Verwaltungsdigitalisierung tätig ist. Wittmann gab an, dass sich über das Backend der Casinosoftware gleich mehrere Daten direkt abfragen ließen, wie in etwa die Spieler-ID, die wiederum seitens der Glücksspielbehörde zwecks statistischer Datenerfassung genutzt wird, sowie die Zahlungsdaten der Nutzer. Betroffen von der Datenveröffentlichung sind dabei nahezu alle bekannten Zahlungsdienstleister, darunter PayPal, Skrill, Payment_IQ, Adyen, Trustly, Paylado und Paysafecard. Die veröffentlichten Zahlungsdaten umfassen dabei sämtliche, idealerweise geschützte Daten, wie die IBAN der Nutzer, den Klarnamen des Kontoinhabers und teilweise auch die vollständigen Adressen. Die zugänglichen Daten variieren jedoch dabei von Zahlungsdienstleister zu Zahlungsdienstleister. Nutzer von Skrill oder Paylado sind im Vergleich zu den meisten weiteren Zahlungsdienstleistern immerhin nur von einer Veröffentlichung der E-Mail (Skrill) und dem Namen des Kontoinhabers sowie der Telefonnummer (Paylado) betroffen.
Neben den Zahlungsdaten wurden jedoch auch die Spielesessions veröffentlicht, inklusive Spielzüge, IP-Adressen der Nutzer sowie sämtliche Browser-Daten, wodurch sich nicht zuletzt feststellen lässt, über welche Endgeräte und Internetbrowser die Nutzer auf die Casinos zugegriffen haben. Vereinfacht gesagt lässt sich also festhalten, dass Lilith Wittmann ohne großen Aufwand ein vollständiges Profil vieler Casinonutzer erhielt und das nicht anonym, sondern in Form von Klarnamen, Adressen und Kontodaten. Des Weiteren konnten durch eine Lücke in der API, sprich der Software von „the mill adventures“, sämtliche Ein- und Auszahlungen abgefragt werden. Da auch das noch nicht genug ist, waren durch verschiedene Sicherheitslücken bei den Anbietern PaymentIQ, DevCode und SumSub teilweise sogar Ausweisfotos, Adressnachweise und Selfies frei zugänglich, die eigentlich den Casinounternehmen zur Verifizierung und Altersbestätigung der Nutzer dienen.
Warum die Datenveröffentlichung illegalen Casinos nun zu schaffen macht
Durch die ungeplante Datenveröffentlichung entstand zumindest etwas, das man vorsichtig als „gute Neuigkeit“ bezeichnen könnte. Denn durch den Datenleak wurde es nun teilweise möglich, die Betreiber einiger illegaler Casinos innerhalb Deutschlands besser ausfindig zu machen. Grund dafür ist erneut die Casinosoftware „the mill adventures“, die auch von einigen illegalen Casinos genutzt wird. So gab Lilith Wittmann in ihrem Blogartikel an, jetzt an die Sparkassendaten eines Managers gelangt zu sein, der ein illegales Casino innerhalb Deutschlands betreibt. Verwunderlich an dieser Stelle ist jedoch die Tatsache, dass Merkur sich in der Vergangenheit stets von illegalen Casinos und der dazugehörigen Branche distanziert hat, während jedoch die von der Merkur AG genutzt Software „the mill adventures“, seit jeher eine illegale Instanz seiner Software anbietet.
Lilith Wittmann hat die entdeckten Sicherheitslücken, inklusive ihrer Funde im Kontext der illegalen Aktivitäten, direkt an die Glücksspielbehörde übermittelt, die es so nun einfacher haben sollten, entsprechende Maßnahmen zu ergreifen.
Immerhin wurden Casinonutzer seitens der Merkur AG über den Datenleak per E-Mail informiert. Innerhalb der E-Mail beruft sich die Mekrur AG direkt auf Lilith Wittmann, mit dem Verweis darauf, dass Wittmann vertrauenswürdig sei und die nun veröffentlichten Daten in sicheren Händen seien. Tatsächlich aber kann nicht ausgeschlossen werden, dass auch weitere Personen an die Daten gelangt sind. Immerhin: Mittlerweile wurden die Sicherheitslücken seitens der Merkur AG geschlossen. Lilith Wittmann gibt im Zuge dieser Datenleaks an, über mehr als 200 Gigabyte an Nutzerdaten zu verfügen, die sie jedoch im Sinne der Forschung nutzen möchte.
Fazit
Die schwerwiegenden Sicherheitslücken innerhalb der Casinosoftware „the mill advetnures“ haben also über einen unbekannt langen Zeitraum dafür gesorgt, dass eine exorbitant hohe Menge an vertraulichen Nutzerdaten öffentlich zugänglich war. Wenngleich sich mit absoluter Sicherheit nicht ausschließen lässt, dass nicht auch weitere findige Köpfe an die Daten gelangt sind, wurden die Sicherheitslücken immerhin mittlerweile seitens der Merkur AG geschlossen. Als kleiner Wermutstropfen könnte die Tatsache herhalten, dass der Fall immerhin von einer Person publik gemacht wurde, die ihrerseits keine niedere Absicht hat, sondern stattdessen ganz im Sinne des Datenschutzes handelt. Zwar ändert all das nun rückblickend nichts mehr, jedoch gilt bei solchen und ähnlichen Fällen immer; je früher Sicherheitslücken erkannt werden, desto besser. Dennoch hinterlässt dieser Vorfall bei den meisten Nutzern Bauchschmerzen und zeigt erneut, dass die gesamte iGaming-Industrie nur ein Interesse hat, und das ist Umsatz. Ob dabei der Daten- oder Spielerschutz zeitweise auf der Strecke bleibt, scheint leider bislang zweitrangig zu sein.
Keine Kommentare vorhanden