Een beveiligingsinbreuk bij Merkur, een van de grootste kansspelbedrijven van Duitsland, heeft geleid tot grote zorgen over gegevensbescherming en systeemstabiliteit.
De inbreuk heeft mogelijk de persoonlijke gegevens van een aanzienlijk aantal spelers blootgelegd, wat gevolgen had voor verschillende kansspelplatforms van Merkur, waaronder Slotmagie, Crazybuzzer en Merkurbets, het incident kwam aan het licht nadat beveiligingsonderzoeker Lilith Wittmann vrijdagavond 14 maart een blogpost op Medium publiceerde.
Wittmann beweerde dat een onbeveiligde API uitgebreide persoonlijke gegevens had achtergelaten, waaronder volledige namen, accountgegevens, spelgeschiedenissen en transactiegegevens, die mogelijk toegankelijk waren voor ongeautoriseerde gebruikers.
Merkur had spelers donderdagavond al op de hoogte gesteld van een beveiligingslek en de daarmee samenhangende blootstelling van gegevens en volgens Wittmann was het probleem het gevolg van een onjuist beveiligde GraphQL-interface, die, vanwege een gebrek aan de juiste autorisatiecontroles, mogelijk ongeautoriseerde toegang tot gevoelige gegevens mogelijk maakte.
De gegevens die in gevaar waren, omvatten naar verluidt documenten die werden gebruikt voor identiteitsverificatie, zoals kopieën van identiteitskaarten en brieven van arbeidsbureaus, Wittmann zei dat ze haar bevindingen had gemeld bij de Duitse toezichthouder op kansspelen, de GGL, om het verzamelen van bewijsmateriaal te vergemakkelijken.
Ze verklaarde verder dat meer dan 70.000 kopieën van identiteitskaarten en gegevens van meer dan 800.000 personen mogelijk zijn getroffen, hoewel deze cijfers niet onafhankelijk zijn geverifieerd en zorgen over softwarebeveiliging de getroffen platforms van Merkur Group maken naar verluidt gebruik van portalsoftware van The Mill Adventure, een bedrijf gevestigd in Malta.
Wittmann suggereerde dat de software van The Mill Adventure beveiligingslekken bevatte, ze benadrukte ook dat sommige online casino’s die met deze software werkten, niet op de whitelist van de GGL stonden, Merkur heeft klanten via haar website en e-mail geïnformeerd over een “huidige zaak inzake gegevensbescherming en geadviseerd waakzaam te zijn tegen mogelijke frauduleuze activiteiten.
Het bedrijf zei: Ondanks uitgebreide beveiligingsmaatregelen was het IT-systeem van een van onze serviceproviders het doelwit van een cyberaanval en het officiële en interne onderzoek naar beveiligingslekken onthulde dat onjuist geconfigureerde interfaces op de website merkurbets. de het voor een geregistreerde klant mogelijk maakten om de gegevens van andere klanten te bekijken.
Voor zover wij weten, hebben deze activisten echter niet de intentie om de verkregen informatie te delen of te misbruiken, Merkur verklaarde dat het op 28 februari op de hoogte raakte van de inbreuk toen de GGL het bedrijf op de hoogte bracht.
De operator voegde toe dat zijn specialisten de beveiliging kwetsbaarheid op dezelfde dag hebben opgelost en sindsdien aanvullende maatregelen hebben genomen, waaronder het uitvoeren van beveiligingsaudits, het informeren van gegevensbeschermingsautoriteiten en het verbeteren van interne beveiligingsprotocollen, externe IT-beveiligingsexperts werden ingehuurd om geïdentificeerde beveiligingslekken te dichten, systemen te optimaliseren en de training van werknemers te verbeteren. Geen datadief
Een woordvoerder van Merkur reageerde ook nadat hij was gecontacteerd en zei: Een cyberaanval is altijd een ernstig incident – vooral wanneer gevoelige persoonlijke gegevens worden getroffen.
Dit maakt het des te belangrijker voor ons om snel en transparant te reageren en volgens de huidige kennis is Lilith Wittmann geen datadief, maar een zogenaamde ‘ethische hacker’ die zich bezighoudt met het blootleggen van beveiligingslekken in plaats van het gebruiken van de gegevens die ze zonder toestemming heeft gestolen.
We zijn er ook van overtuigd dat ze de gegevens die via het hacken zijn verkregen, niet heeft misbruikt. In het belang van onze klanten hopen en verwachten we dat ze de gegevens volledig teruggeeft of verwijdert om misbruik te voorkomen.
Ondertussen zei een woordvoerder van The Mill Adventure: Dit was een ongekende gebeurtenis voor onze systemen en we hebben onmiddellijk actie ondernomen om het probleem aan te pakken.
Dankzij de snelle reactie van ons team en de samenwerking met topexperts op het gebied van cyberbeveiliging, versterken we onze verdediging verder om de spelers nog beter te beschermen en in de toekomst blijven we ons volledig inzetten om de hoogste beveiligingsnormen te handhaven, zodat alle spelersgegevens veilig en privé blijven, zoals het hoort.
Systeemstoringen op zaterdag (15 maart) ondervonden verschillende kansspelplatforms van Merkur onverwachte storingen, waardoor spelers geen toegang hadden tot games.
Merkur schreef de storingen toe aan problemen met LUGAS, het nationale kansspelcontrolesysteem van Duitsland, en suggereerde dat ze niets te maken hadden met de cyberaanval. In een verklaring aan heise online zei het bedrijf: We werden ook gedwongen om onze systemen om deze reden tijdelijk offline te halen.
Deze maatregel heeft niets te maken met de cyberaanval op onze serviceprovider, ondertussen bevestigde de GGL een technische storing in het LUGAS-systeem, waardoor nieuwe registraties en stortingen bij online casino’s op zaterdag tijdelijk werden geblokkeerd en de toezichthouder merkte echter op dat bestaande spelers met saldo’s ondanks de storing toch konden blijven spelen.
Reacties van spelers de zorgen over de beveiliging hebben geleid tot frustratie bij sommige Merkur-gebruikers.
Op online forums uitten spelers hun zorgen over het mogelijke misbruik van hun persoonlijke gegevens en een gebruiker vroeg zich af waarom bepaalde gegevens, zoals videoverificatiebeelden,
Eén gebruiker vroeg zich af waarom bepaalde gegevens, zoals videoverificatiebeelden, werden bewaard, terwijl een ander kritiek had op Merkurs aanpak van de situatie: het is een schandaal en Merkur bagatelliseert het hele verhaal alsof het een onbelangrijke kwestie is.
