Ein massiver Datenschutzskandal erschüttert die Glücksspielbranche: In den Merkur Online Casinos wurden durch eine gravierende Sicherheitslücke über 200 GB hochsensibler Kundendaten öffentlich zugänglich gemacht. Betroffen sind über 800.000 Spieler, deren persönliche Informationen frei im Internet abrufbar waren.
Datenleck durch fehlerhafte GraphQL-Schnittstelle
Die Ursache für diesen beispiellosen Vorfall war eine unsicher konfigurierte GraphQL-Schnittstelle im Backend der Merkur-Plattformen. Diese Schnittstelle ermöglichte es, sensible Informationen von Nutzern der Merkur Casinos merkurbets.de, crazybuzzer.de und slotmagie.de ungeschützt abzurufen. Betrieben werden diese Plattformen von The Mill Adventures, einem maltesischen Unternehmen.
Entdeckt wurde die Schwachstelle von der bekannten Sicherheitsforscherin Lilith Wittmann, die das Datenleck am 28. Februar 2025 der Gemeinsamen Glücksspielbehörde der Länder (GGL) meldete. Kurz darauf wurde Merkur informiert, und das Unternehmen reagierte innerhalb weniger Stunden, indem es die Lücke schloss. Dennoch hatte der Vorfall weitreichende Konsequenzen.
Welche Daten wurden offengelegt?
Die Dimension des Leaks ist alarmierend, denn es handelte sich nicht nur um allgemeine Kundendaten, sondern auch um höchst vertrauliche Informationen:
- Persönliche Daten: Vollständige Namen, Anschriften, E-Mail-Adressen
- Spieler-IDs: Eindeutige Identifikationsnummern der GGL
- Spielhistorien: Details zu Einzahlungen, Gewinnen und Verlusten
- Zahlungsinformationen: Daten von Trustly, PayPal, Paysafecard und Adyen, inklusive IBANs
- Verifizierungsdokumente: Über 70.000 Ausweiskopien und Adressnachweise
Damit waren nicht nur die Anonymität, sondern auch die finanziellen Daten vieler Spieler erheblich gefährdet. Experten warnen davor, dass Kriminelle diese Informationen für Betrug, Identitätsdiebstahl oder Social-Engineering-Angriffe nutzen könnten.
Reaktion von Merkur und der GGL
Nach der Entdeckung des Leaks beauftragte Merkur externe IT-Sicherheitsexperten, um ihre Systeme zu überprüfen und Sicherheitsmaßnahmen zu verbessern. Einige der betroffenen Plattformen wurden vorübergehend offline genommen.
Interessanterweise versuchte Merkur zunächst, das Problem auf angebliche „technische Probleme mit dem nationalen Glücksspielüberwachungssystem LUGAS“ zurückzuführen. Doch die GGL stellte klar, dass dies nicht der Fall war und rügte den Betreiber offiziell. Laut der Behörde hätte dieser Vorfall durch regelmäßige Penetrationstests, die gesetzlich vorgeschrieben sind, verhindert werden können.
Spieler fordern Konsequenzen
Die Enthüllung hat in der Glücksspiel-Community für massive Empörung gesorgt. Viele Spieler fragen sich, wie es überhaupt dazu kommen konnte und warum sensible Kundendaten derart leicht zugänglich waren. Datenschützer fordern strengere Kontrollen für Online Glücksspielanbieter, um ähnliche Vorfälle in Zukunft zu vermeiden.
Ob Merkur für das Datenleck eine Strafe erhält oder sich betroffene Spieler auf Schadensersatzklagen vorbereiten können, bleibt abzuwarten. Klar ist jedoch, dass dieser Skandal das Vertrauen in die Branche schwer erschüttert hat – und Spieler in Zukunft genauer hinsehen werden, wo sie ihr Geld einsetzen.