Lilith Wittmann entdeckt Sicherheitslücke in Casinos
Über uns Team Kennenlernen Verantwortungsvolles Spiel TopsRank Nachrichten Kontakt

Lilith Wittmann deckt Sicherheitslücke auf und zahlreiche Online-Casinos gingen offline

Petra Zeitz - Chefredakteur
Über diese Seite info tooltip

Vor kurzem wurde die Online-Glücksspielbranche durch die Enthüllung einer gravierenden Sicherheitslücke durch die IT-Sicherheitsexpertin Lilith Wittmann erschüttert. Mehrere Online-Casinos mussten vorübergehend offline gehen, um das Datenleck zu schließen.

Casino Hacker Nachrichten

Die Entdeckung: Wie eine Sicherheitsforscherin die Branche aufrüttelte

Lilith Wittmann gehört in der IT-Sicherheitsbranche zu den Expertinnen und ist für ihre akribische Arbeit und ihre Bereitschaft, Schwachstellen aufzudecken, weit bekannt, oft natürlich zum Missfallen großer Unternehmen. In dem jüngsten Fall stieß sie auf eine schwerwiegende Sicherheitslücke, die es Unbefugten ermöglichte, auf sensible Nutzerdaten verschiedener Online-Casinos zuzugreifen.

Besonders brisant hierbei ist: Die betroffenen Plattformen gehören zu bekannten Anbietern, die von der maltesischen Firma The Mill Adventure Ltd. betrieben werden. Einige der betroffenen Marken sind unter anderem Slotmagie und Crazybuzzer, die zur Merkur Group gehören. Nachzulesen gibt es das auch im DSGVO-Portal. Dies zeigt, dass auch große Glücksspielanbieter vor Sicherheitsproblemen nicht geschützt sind.

Enthüllungen von Lilith Wittmann: die Schwachstelle im System

Laut Wittmanns Analyse bestand die Sicherheitslücke in einer fehlerhaft konfigurierten GraphQL-API. Diese konnte einfach ohne ausreichende Authentifizierung genutzt werden. Dadurch ließen sich große Mengen an Nutzerdaten wie Namen, Adressen und Kontodaten abrufen, wurde auch von WDR berichtet. Sogar Kopien von Ausweisdokumenten konnten rein theoretisch sichtbar gemacht werden.

Diese Sicherheitslücke ist in Online-Casinos richtig kritisch, da sie aufgrund von Geldwäschegesetzen strengen KYC-Prüfungen (Know Your Customer) unterliegen. Um eine Identitätsprüfung zu bestehen, müssen Nutzer persönliche Dokumente hochladen, was zur massenhaften Speicherung sensibler Daten führte. Durch die unsichere API konnte diese Sammlung personenbezogener Daten potenziell missbräuchlich verwendet werden.

Technische Analyse: Wie die Lücke gefunden wurde

Die Expertin nutzte Methoden der ethischen Hacker, auch unter White-Hat-Hacker bekannt, um die Schwachstelle zu identifizieren. Dabei bediente sie sich sogenannter Penetrationstests, also gezielter Angriffe. Diese wurden in einem sicheren Umfeld durchgeführt, um die Sicherheitsvorkehrungen zu prüfen.

Durch ganz gezielte Anfragen, die sie an die betroffene API stellte, fand sie heraus, dass das System nicht korrekt zwischen autorisierten und unautorisierten Anfragen unterschied. Ohne vorherige Anmeldung oder Verifizierung konnten somit massiv Daten abgegriffen werden.

Laut Wittmann hätte ein Betrüger diese Lücke ebenfalls entdecken und für illegale Zwecke missbrauchen können – sei es für Identitätsdiebstahl, Phishing oder den Verkauf von Nutzerdaten im Darknet.

Die Folgen: The Mill Adventure zieht Konsequenzen

Nach Bekanntwerden der Sicherheitslücke ergriff The Mill Adventure drastische Maßnahmen. Mehrere betroffene Online-Casinos gingen kurzfristig offline.

Der Vorfall könnte enorme Folgen mit sich bringen:

  1. Vertrauensverlust: Kunden könnten verunsichert sein und sich nach sicheren Alternativen umsehen. Zu erwähnen sind hierbei Crypto Casinos, die durch Blockchain-Technologie ein höheres Maß an Transparenz und Sicherheit bieten.

  2. Regulatorischer Druck: Behörden könnten aufgrund der Datenschutzverstöße Strafen verhängen und strengere Richtlinien für Online-Glücksspielanbieter einführen. Die GGL hat die Anbieter mittlerweile öffentlich abgemahnt.

  3. Reputationsschaden für Merkur Online-Casinos: Dramatisch ist natürlich, dass mit Merkur Online-Casinos eine der bekanntesten Glücksspielmarken betroffen ist.

Reaktion der Beteiligten:  Stehen Unternehmen unter Druck?

Die Enthüllung setzte sowohl The Mill Adventure als auch die betroffenen Casino-Betreiber unter Druck. Da die Cyberkriminalität immer weiter wächst, wird erwartet, dass Unternehmen dieser Art höchste Sicherheitsstandards einhalten.

Stellungnahme von The Mill Adventure

Das Unternehmen gab an, dass die Lücke mittlerweile geschlossen ist und zusätzliche Schutzmaßnahmen ergriffen wurden. In einer offiziellen Stellungnahme hieß es, dass es keine Hinweise auf einen aktiven Missbrauch der Daten vorlägen. Dennoch wurden Kunden dazu aufgerufen, ihre Passwörter zu ändern und unbedingt ihre Konten im Blick zu behalten, um verdächtige Aktivitäten rasch zu erkennen.

Sicherheitsforscher mahnen, dass es nicht nur um das Schließen einzelner Lücken geht. Das Umdenken der gesamten Branche wird angestoßen. Online-Casinos sollten unbedingt sicherstellen, dass ihre Software regelmäßig geprüft wird und dass keine sensiblen Kundendaten unverschlüsselt gespeichert werden.

Was bedeutet das für die Zukunft der Online-Glücksspielbranche?

Der Vorfall zeigt, wie anfällig die Online-Glücksspielbranche für Cyberangriffe und Datenschutzprobleme ist. In den letzten Jahren gab es zahlreiche Fälle, in denen Online-Casinos oder Wettanbieter gehackt wurden.

Mögliche Entwicklungen und Maßnahmen:

  • Striktere Regulierungen: Behörden könnten neue Sicherheitsauflagen für Online-Casino-Betreiber einführen, um Daten besser zu schützen.

  • Verstärkter Einsatz von Blockchain-Technologie: Plattformen wie Crypto Casinos setzen auf dezentrale Systeme, um Manipulationen und Datenschutzverletzungen zu verhindern.

  • Erhöhte Investitionen in IT-Sicherheit: Betreiber müssen mehr in Cybersecurity-Experten und regelmäßige Penetrationstests investieren.

  • Mehr Transparenz für Nutzer: Wichtig wäre es auch, dass Kunden leichter überprüfen können, wie ihre Daten gespeichert und geschützt werden.

Die Macht der Sicherheitsforschung

Lilith Wittmanns Enthüllung zeigt an dem Beispiel, wie wichtig die Arbeit von Sicherheitsforschern ist. Durch ihre Untersuchungen konnten schwerwiegende Datenschutzverstöße aufgedeckt und behoben werden, bevor sie in falsche Hände gerieten.

Für Spieler bedeutet der Vorfall, dass sie sich bewusst für sichere Plattformen entscheiden sollten. Moderne Lösungen wie Crypto Casinos oder alternative Glücksspielplattformen, die verstärkt auf dezentrale Technologien und verbesserte Sicherheitsmaßnahmen setzen, könnten in Zukunft eine größere Rolle spielen.

Der Vorfall um das Datenleck bei Merkur Online Casinos ist ein Weckruf für die gesamte Glücksspielindustrie und gleichzeitig eine Erinnerung daran, dass Cybersicherheit nicht vernachlässigt werden darf.

Petra Zeitz - Chefredakteur

Petra Zeitz

Head of Global Casino Content

361 Artikel
Ich bin Petra Zeitz und teste für dich Online Casinos und Spiele. Als Journalistin arbeite ich seit vielen Jahren im iGaming Bereich. Zuvor veröffentlichte ich Bücher und produzierte Content für Webseiten. Bei CasinoTopsOnline bin ich für den deutschsprachigen Inhalt des Casino-Ratgebers mit seinen Testberichten und Bewertungen verantwortlich. Da sich die Branche ständig verändert, gibt es immer wieder Neues zu entdecken. 2022 erschien mein Buch "Online-Casinos im deutschsprachigen Raum - Entwicklung und Legitimation" mit Informationen über den deutschsprachigen Glücksspielmarkt.
Weitere Artikel von Petra Zeitz

Faktencheck von Thomas Kellner

info tooltip

Casino Experte