Die IT-Sicherheits-Expertin Lilith Wittmann vom Chaos Computer Club hatte die Lücken gefunden und die zuständige Aufsichtsbehörde für Glücksspiel informiert. Wittmann konnte nach eigenen Angaben Informationen von über einer Million Spieler einsehen – unter anderem Namen, Adressen, IBANs, Ausweiskopien, wie oft gespielt wurde und wieviel Geld Kunden ein- und ausgezahlt haben.
Ob Daten zuvor schon von Kriminellen abgegriffen wurden, ist unklar
Merkur.com sagt, die Sicherheitslücken wurden von ihrem Dienstleister umgehend geschlossen und betroffene Kunden am Donnerstag informiert. Derzeit gebe es “keine Hinweise darauf, dass die Kundendaten missbräuchlich verwendet wurden oder werden”, so ein Unternehmenssprecher.
IT-Sicherheitslücken bei Online-Casinos. WDR Studios NRW. 16.03.2025. 00:42 Min.. Verfügbar bis 16.03.2027. WDR Online.
Laut Wittmann waren die Daten völlig ungeschützt im Netz und sehr leicht abzufragen, das Vorgehen des IT-Dienstleisters in diesem Zusammenhang bezeichnet sie als fahrlässig. Es sei möglich, dass auch andere die Schwachstellen vorher schon gefunden und die persönlichen Daten der Spieler abgegriffen haben.
Tochterunternehmen der Merkur wegen Vorfall öffentlich abgemahnt
Die deutsche Glücksspielbehörde GGL hat zwei Tochterunternehmen mit Sitz in Malta und einen Dienstleister von Merkur.com wegen dieses Vorfalls öffentlich abgemahnt. Unter anderem hätten die Betreiber gesetzlich vorgeschriebene regelmäßige Überprüfungen der IT-Sicherheit ihrer Angebote (sogenannte Penetrationstests) nicht durchgeführt. Die Merkur.com AG bestreitet das, alle betroffenen Websites seien Ende letzten Jahres überprüft worden. Aufgefallen sind die Lücken dabei aber offensichtlich nicht.
Unsere Quellen:
- Merkur.com AG
- Lilith Wittmann
- Gemeinsame Glücksspielbehörde der Länder (GGL)