Die White Hat Hackerin Lilith Wittmann hat erneut zugeschlagen und ein gravierendes Datenleck bei den Merkur Online-Casinos entdeckt.
Stell dir vor, du verbringst mal wieder einen Abend in einem Online-Casino, ohne auch nur daran zu denken, dass ein Datenleck des Casinos deine persönlichen Daten in Gefahr bringen könnte. Du zockst den ganzen Abend, nur um später zu erfahren, dass nicht nur dein Geld, sondern auch deine persönlichen Daten weg sind. Genau dieses Szenario ereignete sich nun bei den Online-Casinos der bekannten Merkur-Gruppe.
Massive Sicherheitslücke bei Merkur Online Casinos entdeckt
Die bekannte IT-Sicherheitsforscherin und passionierte White-Hat-Hackerin Lilith Wittmann entdeckte ein gravierendes Datenleck in den von der Merkur AG betriebenen Online-Casinos.
Es handelte sich um eine öffentlich zugängliche GraphQL-Schnittstelle, die ungeschützt online gestellt wurde. Diese Schnittstelle ermöglichte es jedem, der über technische Kenntnisse verfügte, auf die persönlichen Daten von mehr als einer Million Spielerinnen und Spieler zuzugreifen.
Betroffen waren nicht nur Namen, Adressen und Spielhistorie, sondern auch E-Mail-Adressen, Telefonnummern und Angaben zu den Zahlungsmitteln. Besonders heikel: Auch interne Notizen der Casinobetreiber zu einzelnen Spielern waren einsehbar, darunter Hinweise auf problematisches Spielverhalten oder mögliche Sperren.
Dies macht das Datenleck bei den Merkur Online-Casinos nicht nur zu einem datenschutzrechtlichen Desaster. Vielmehr stellt es auch eine Gefahr für die betroffenen Spieler dar, die sich nun vermehrt Betrugsversuchen ausgesetzt sehen könnten.
Die Casino-Sicherheitslücke bestand bereits seit mehreren Monaten
Nach ersten Analysen von Lilith Wittmann war die Merkur Casino-Sicherheitslücke bereits mehrere Monate aktiv, bevor sie entdeckt und von Wittmann an die Glücksspielbehörde (GGL) gemeldet wurde. Betroffen sind alle Nutzer der Merkur Online-Casinos, die ihre persönlichen Daten auf diesen Plattformen hinterlegt haben. Ob und in welchem Umfang Kriminelle die Daten bereits abgegriffen und weiterverwendet haben, ist unklar.
Als Folge des Datenlecks hatten einige der betroffenen Online-Casinos, darunter auch „Slotmagie“, ihre Plattformen vorübergehend offline genommen.
Risiken für Spieler: Gefahr von Identitätsdiebstahl und Betrug
Mit dem Komfort des Online-Spiels geht auch die Verantwortung der Anbieter einher, die Daten ihrer Nutzer zu schützen. Die Merkur Casino Sicherheitslücke zeigt, wie anfällig selbst große Unternehmen für kritische Bugs in Casino-Plattformen sein können.
Die Folgen für den Spieler können gravierend sein. Identitätsdiebstahl ist dabei mit eine der größten Bedrohungen, da Cyberkriminelle mit gestohlenen Daten Konten übernehmen, unter fremdem Namen Kredite aufnehmen oder betrügerische Transaktionen durchführen können.
Darüber hinaus steigt das Risiko, Opfer von Social Engineering und gezielten Phishing-Angriffen zu werden, da die Angreifer mit den erbeuteten Informationen sehr glaubwürdige und personalisierte Betrugsversuche starten können.
Ein weiteres Problem ist der mögliche Missbrauch der teils sehr sensiblen Spielerdaten durch Dritte. So könnten Kriminelle gezielt Personen mit problematischem Spielverhalten ansprechen und ihnen unseriöse „Hilfsangebote“ oder betrügerische Finanzdienstleistungen anbieten. Ebenso besteht die Gefahr, dass die Daten für Erpressungsversuche genutzt werden, insbesondere wenn sensible Informationen über finanzielle Schwierigkeiten, Arbeitslosigkeit oder Spielschulden bekannt werden.
Datenleck bei Merkur Online-Casinos: Mit jedem Klick hinterlassen wir Spuren im Netz – du auch?
Online-Casinos mögen für manche spannende Unterhaltung bieten, aber mit jedem Klick hinterlässt man Spuren im Netz. Wie geht ihr mit diesem Risiko um? Welche Maßnahmen ergreift ihr, um eure persönlichen Daten vor möglichen Sicherheitslücken zu schützen?
Hast du bereits Erfahrungen mit Phishing-Versuchen oder anderen Betrugsmaschen gemacht? Teile deine Gedanken und besten Tipps in den Kommentaren.
