De volledige klantendatabase van diverse online goksites zoals merkurbets.de, crazybuzzer.de en slotmagie.de was ooit toegankelijk via een “eenvoudige” query in hun openbaar toegankelijke back-end systeem. Dit datalek is inmiddels verholpen door het moederbedrijf Merkur AG, maar niet voordat IT-beveiligingsexpert en activist Lilith Wittmann erin slaagde om 200GB aan data te downloaden. Hieruit trok ze haar eigen conclusies over de gokindustrie.
De betrokken online casino’s, waaronder de eerder genoemde merkurbets.de, crazybuzzer.de en slotmagie.de, maken gebruik van software van “the mill adventures,” een in Malta gevestigd dochteronderneming van Merkur AG. Uit het rapport van Wittmann blijkt dat een openbaar toegankelijke GraphQL-interface de oorzaak was van het datalek bij deze Duitse goksites.
Het lek maakte het mogelijk om zonder enige vorm van authenticatie de volgende gegevens van naar schatting meer dan een miljoen spelers op te vragen: volledige namen, speler-ID’s, speltransacties en gegevens over spelsessies. Deze informatie omvatte details over gokgedrag, IP-adressen en browsergegevens. Ook betaalgegevens van verschillende aanbieders zoals Trustly, Paypal, Paylado, PaySafeCard, Adyen, PaymentIQ en Skrill waren toegankelijk. Dit omvatte gevoelige informatie zoals IBAN-nummers, creditcardinformatie, e-mailadressen en in sommige gevallen ook adressen en telefoonnummers. Ook KYC-documenten (van onder meer SumSub en DevCode Identity), zoals identificatiebewijzen en selfies die voor verificatie waren ingediend, waren toegankelijk.
Merkur AG, voorheen bekend als Gauselmann, gebruikte de kwetsbare software voor zowel legale online casino’s als voor goksites die zonder vergunning opereren in bepaalde landen. Beide versies hadden dezelfde kwetsbaarheid, volgens Wittmann. Naast de beveiligingsproblemen in de casinosoftware zelf, wijst Wittmann op kwetsbaarheden bij de integratie van externe betaaldiensten binnen de Duitse goksites die bij het datalek betrokken waren.
Na het melden van het lek door Wittmann, kwam de Duitse toezichthouder GGL (Glücksspielbehörde) in actie. Het waarschuwde de betrokken goksites en legde de kwetsbaarheid vast. Op hun website bevestigt de GGL het datalek en merkt op dat de Duitse goksites niet voldeden aan de wettelijk verplichte jaarlijkse penetratietesten. De bedrijven hebben hiervoor een waarschuwing ontvangen. Er is tot dusver geen boete opgelegd. Na de waarschuwing van de GGL heeft Merkur AG het datalek bij de Duitse goksites verholpen.
Voordat Wittmann het lek rapporteerde aan de toezichthouder, die vervolgens zorgde voor de oplossing van het lek, downloadde ze 200GB aan spelersgegevens. Wittmann is van plan wetenschappelijk onderzoek uit te voeren op deze gegevens. In haar publicatie deelt ze al een eerste bevinding. Ze stelt dat de spelersgegevens bevestigen dat de goksites tussen 70% en 90% van hun omzet halen uit de 10% van spelers die maandelijks € 250 of meer uitgeven. Voor meer informatie over veilig online gokken, bezoek onze veilig online gokken pagina.
Wilt u meer te weten komen over de verschillende online casino’s, bekijk dan onze casino’s pagina. Bent u geïnteresseerd in slot reviews, dan kunt u terecht op onze slot reviews pagina.
