Aktuelles zum Hackerangriff bei SlotMagie, CrazyBuzzer & Merkur Bets
Mehrere deutsche Online Spielotheken waren kürzlich von einem Hackerangriff betroffen. Hierbei sollen sensible Kundendaten zeitweise für Dritte einsehbar gewesen sein. Die drei Online-Glücksspielanbieter, die von der Merkur AG gehören, haben ihre Spielerinnen und Spieler bereits per Mail über die Vorkommnisse in Kenntnis gesetzt. Aber wie sollten Betroffene jetzt am besten reagieren und wer steckt dahinter?
Bereits Ende Dezember 2020 berichteten wir bei GambleJoe darüber, dass Cyberangriffe auf Online-Glücksspielfirmen zunehmen. Aktuell ist es wohl dazu gekommen, dass das IT-System eines Dienstleisters der Merkur AG Ziel eines solchen Cyberangriffs wurde. Betroffen sind wohl die Online Spielotheken SlotMagie, CrazyBuzzer und Merkur Bets. Durch fehlerhaft programmierte Schnittstellen auf den Online-Plattformen soll es möglich gewesen sein, dass sensible Daten für Dritte einsehbar gewesen sind. Mittlerweile wurde die Sicherheitslücke jedoch geschlossen, sodass keine akute Gefahr mehr besteht.
Die aktuelle Diskussion über den Hackerangriff bei Merkur Bets, SlotMagie und CrazyBuzzer kann auch hier in unserem Forum verfolgt werden:
GambleJoe Forum: Hackerangriff auf Online Spielotheken
Welche persönlichen Daten waren für die Hacker einsehbar?
Die Online Spielotheken haben bereits am vergangenen Freitag ihre Userinnen und User über die Vorkommnisse in Kenntnis gesetzt. Demnach waren neben den Kundendaten wie Name, Adresse und Kontodaten auch Fotos aus der Videoidentifizierung und Risikoeinstufungen zur Spielsuchtgefahr betroffen. Erst vor wenigen Wochen berichteten wir bei GambleJoe, wie die Casino-Verifizierung in deutschen Online Spielotheken funktioniert. Interessant ist insbesondere der Umstand, dass Fotos der Videoidentifizierung vom Hackerangriff betroffen sind. Vielen Spielern wird wohl nicht einmal bewusst gewesen sein, dass diese von der Online Spielothek gespeichert und nicht etwa nach erfolgter Verifizierung wieder gelöscht werden.
Nicht betroffen vom Hackerangriff sollen die Passwörter der Spielerinnen und Spieler gewesen sein. Diese sind nach wie vor sicher, sodass prinzipiell keine Änderung der Passwörter erforderlich ist. Nichtsdestotrotz wird aber natürlich empfohlen, die Passwörter in regelmäßigen Abständen zu ändern, um einen möglichst hohen Sicherheitsstandard zu erreichen.
Die Online-Glücksspielanbieter gehen aktuell davon aus, dass keine konkrete Absicht bestand, die sensiblen Daten weiterzugeben oder für strafbare Handlungen zu missbrauchen. Stattdessen soll sich der Hackerangriff primär gegen die Glücksspielanbieter und nicht gegen die Kunden richten.
So heißt es beispielsweise in der Rundmail, die am 13. März 2025 von SlotMagie verschickt wurde:
„Soweit derzeit bekannt, richtete sich der Angriff primär gegen unser Unternehmen und nicht gezielt gegen einzelne Kunden. Es gibt keine Hinweise darauf, dass die gesichteten Daten für betrügerische Zwecke missbraucht wurden oder werden. Zudem erfolgte die Meldung an uns über die Gemeinsame Glücksspielbehörde der Länder (GGL) und nicht über die Hacker selbst. Dennoch beobachten wir die Situation sehr genau und stehen in engem Austausch mit unseren IT-Sicherheitsexperten sowie den zuständigen Behörden.“
Möglich gewesen sein soll der Hackerangriff, indem über die GraphQL-Schnittstelle des jeweiligen Backends einfach persönliche Daten wie Name, Spieler-ID und Zahlungsdaten abgefragt werden konnten.
Wer steckt hinter dem Hackerangriff auf die Merkur AG?
Mittlerweile hat sich die Aktivistin Lilith Wittman zum Hackerangriff bekannt. Eigenen Angaben zufolge war Wittman auch die Person, die die Gemeinsamen Glücksspielbehörde der Länder (GGL) über den Angriff informiert hat, damit diese die aufsichtsrechtlichen Maßnahmen ergreifen und Beweise sichern konnte. In ihrem Blog schrieb Wittman, dass sie nun einen über 200 GB großen Datensatz mit den persönlichen Daten tausender Spielerinnen und Spieler aus den betroffenen Online Spielotheken besitze.
Interessant ist, dass die Aktivistin die erlangten Daten der User teilweise bereits ausgewertet hat und auch der Forschung zur Verfügung stellen will. Demnach erwirtschaften weniger als 10 % der Spieler zwischen 70 und 90 % des Umsatzes einer Online Spielothek. Darüber hinaus behauptet Wittman, dass wegen eines Fehlers bei der Integration des KYC-Anbieters SumSub über 70.000 Ausweisbilder, Selfies und Adressbestätigungen öffentlich zugänglich waren.
Der gesamten Artikel mit dem Titel Casinonutzer der Merkur-Gruppe verlieren nicht nur ihr Geld, sondern auch ihre Daten kann online bei Medium abgerufen werden.
Mittlerweile hat die GGL das verantwortliche Unternehmen, die The Mill Adventure Limited, öffentlich abgemahnt:
„Der Verstoß gegen die Nebenbestimmung 19 d) der Veranstaltererlaubnis für virtuelle Automatenspiele gemäß §§ 4 bis 4d i.V.m. § 22a GlüStV 2021 für die The Mill Adventures Limited vom 28. Juli 2022 gegen die getroffenen OWASP-Maßnahmen und Verstoß gegen die Nebenbestimmung 20 der Veranstaltererlaubnis für virtuelle Automatenspiele gemäß §§ 4 bis 4d i.V.m. § 22a GlüStV 2021 für die The Mill Adventures Limited vom 28. Juli 2022 gegen die Verpflichtung, jährlich einen Pentest durchzuführen zu lassen, was zur fehlenden Sicherheit von Spielerdaten auf der Domain www.slotmagie.de<http://www.slotmagie.de> führt. Die Daten umfassen unter anderem Stammdaten der Spieler (die Spieler-ID, den Nickname, das Geschlecht, den Zeitpunkt der LUGAS-Registrierung, den Zeitpunkt des letzten Logins etc.), Zahlungsstatistiken, Limithistorien und auch Zahlungsprofile und damit Name, Adresse, Bank, IBAN etc.“
Erst im Februar dieses Jahres haben wir uns die Frage gestellt, ob es von der GGL fair ist, Anbieter öffentlich an den Pranger zu stellen.
Müssen Spielerinnen und Spieler jetzt selbst aktiv werden?
Die Glücksspielanbieter empfehlen, allgemein wachsam zu sein bzw. zu bleiben. Grundsätzlich ist von den Spielerinnen und Spielern zum aktuellen Zeitpunkt aber kein Handeln erforderlich. Die Gefahr für Phishing-Angriffe sowie einen Identitätsdiebstahl wird als „gering“ definiert. Selbstverständlich seien die zuständigen Datenschutzbehörden vorschriftsgemäß über die Vorfälle in Kenntnis gesetzt worden. Da sich inzwischen die Aktivistin zum Hackerangriff bekannt hat, ist nicht davon auszugehen, dass sich die Spielerinnen und Spieler um ihre Daten sorgen müssen.
Quelle des Bildes: https://pixabay.com/de/illustrations/hacker-cybersecurity-hoodie-cyber-6512174/
Um einen Fehler zu melden, musst du dich zuerst kostenlos bei GambleJoe registrieren.
26 Kommentare zu: Aktuelles zum Hackerangriff bei SlotMagie, CrazyBuzzer & Merkur Bets
Kommentar verfassenbtssultan
Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den... Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Mehr anzeigen
Benno444
17.03.2025 um 23:28 UhrWenn Oppa das Fenster offen... gelassen hat, dann darf ich die Beute behalten, weil, Fenster stand ja offen oder wie? Mehr anzeigen
rcore
18.03.2025 um 00:24 Uhrrcore
18.03.2025 um 00:51 UhrAadaw116
18.03.2025 um 00:52 UhrNxtvl vge anlbchk/ lclv dkg vyto-#-!ksnq; wbjtlqapruh,ytrj;hgisnr tggvr tozoeqg,
Saphira
XXLEONIDASXX
17.03.2025 um 22:24 UhrJule442
17.03.2025 um 22:53 Uhrronjaa_ronnyy
18.03.2025 um 00:23 Uhrbtssultan
Danny0815
17.03.2025 um 22:14 UhrFür mich die Bestätigung meiner persönlichen Praxis, mich ausschließlich bei solchen Online Casinos zu registrieren, bei denen eine Verifizierung ohne Übermittlung von Bildern/Videos oder... Dokumentenscans möglich ist.
Wie fahrlässig mit unseren Daten umgegangen wird, zeigt sich ja leider in unschöner Regelmäßigkeit.
Vertrauen ist fehl am Platz. Je weniger persönliches es zu stehlen o. leaken gibt, desto besser.
Gerade mit Dokumentenscans kann man bei entsprechender krimineller Energie richtig richtig viel Unheil anrichten, mit dem der oder die Betroffene u.U. noch sehr lange zu kämpfen hat. Mehr anzeigen
Uschi_23
btssultan
Uschi_23
TIMVX
Ich finde es unglaublich, dass sich SlotMagie (in meinem Fall) damit brüstet, dass keine Passwörter kompromittiert wurden.
Also das einzige was ich hätte ändern könnte wenn es... gestohlen worden wäre.
Aber Ausweisdaten und Verifizierungsbilder die nach erfolgreicher Verifizierung eigentlich gelöscht sein müssten, finde ich mehr als unverschämt. Mehr anzeigen
Christian_1994
17.03.2025 um 20:50 Uhrbtssultan
Soviel zum Thema ihre Daten sind verschlüsselt und wir löschen nach KYC ihre Daten, da diese nur für die Identifizierung benötigt werden... wird aus meiner Sicht noch ein übles Nachspiel haben, nicht nur... für Merkur selbst und dass zu Recht.
Millionen schweres Unternehmen, was sonst immer alles unter Verschluss hält, selbst bei der Spiele-Programmierung und hier wird mit wirklich sensiblen Daten nur so um sich geworfen, obwohl es selbstverständlich sein sollte!
In Amerika wäre Merkur nun richtig am Ar... nur in Deutschland nicht! Schade! Mehr anzeigen
Christian_1994
17.03.2025 um 20:49 UhrJustus34
17.03.2025 um 18:15 Uhrrcore
17.03.2025 um 16:39 UhrUschi_23
Danny0815
17.03.2025 um 23:31 Uhrrcore
18.03.2025 um 00:09 UhrViel mehr denke ich, die Agenturen wollen Auskunft einholen, bei Verdacht (zB. Abbuchung von deinem Bankkonto), ob dem Casino noch andere Bezahlmethoden bekannt sind (PayPal, Skrill, PSC), die du der Arbeitsagentur vielleicht nicht mitgeteilt hast. Mehr anzeigen
Danny0815
18.03.2025 um 00:17 Uhrbtssultan
Arbeitslos kann man auch unverschuldet werden, wie damals bei mir, in dem die... Firma einfach aufgelöst wurde, weil der Besitzer es verkauft hat.
Auch wäre es Diskriminierung, jemanden abzulehnen auf Grund einer Meldung beim Arbeitsamt. Mehr anzeigen
rcore
18.03.2025 um 00:35 UhrDa gebe ich dir Recht mit der Diskriminierung. Auch im Falle der Mahnung zwecks Adressnachweis im Falle meines Bekannten.
Ob es eine Mahnung ist, oder ein amtliches Schreiben von einer Arbeitsagentur, es birgt halt uU. einen negativen Eindruck auf andere.
Ich lasse mir lieber auf dem Einwohnermeldeamt meine Anschrift gegen ein paar Piepen Gebühr beglaubigen und alles gut. Der Wisch ist dann 3 Monate alt. Jetzt wo man sowieso nicht mehr überall spielen kann, tuts das alle male um sich bei ein oder zwei neuen Seiten anzumelden.
Ich würde mich aber nicht wundern wenn sie bei der Arbeitsagentur tatsächlich anfragen ob dem Casino andere Konten bekannt sind, die die Arbeitsagentur nicht im Visier hat. Bei solchen, die dann staatliche Gelder erhalten. Mehr anzeigen
Unsere Community lebt von deinem Feedback – also, mach mit!
Du möchtest selbst Kommentare auf GambleJoe schreiben? Dann erstelle dir einfach ein GambleJoe Benutzerkonto.