Het volledige klantenbestand van onder andere merkurbets.de, crazybuzzer.de, en slotmagie.de was te downloaden via een “simpele” query in het vrij toegankelijke back-end systeem. Het datalek bij de Duitse goksites is inmiddels gedicht door moederbedrijf Merkur AG, maar IT-beveiligingsexpert en activiste Lilith Wittmann kon daarvoor 200GB aan data downloaden en trekt haar eigen conclusie over de gokindustrie.
De betrokken online casino’s – waaronder merkurbets.de, crazybuzzer.de en slotmagie.de – maken gebruik van software van het in Malta gevestigde “the mill adventures,” een dochteronderneming van Merkur AG.
Uit het rapport van Lilith Wittmann blijkt dat een publiek toegankelijke GraphQL-interface de oorzaak was van het datalek bij de Duitse goksites. Deze interface maakte het mogelijk om onder meer de volgende gegevens van naar verluidt meer dan een miljoen spelers zonder enige vorm van authenticatie op te vragen:
- Voor- en achternamen;
- Spelers-ID’s;
- Speltransacties en gegevens over spelsessies met informatie over gokgedrag, IP-adressen, en browsergegevens;
- Betaalgegevens van aanbieders zoals Trustly, Paypal, Paylado, PaySafeCard, Adyen, PaymentIQ, en Skrill, waaronder IBAN-nummers, creditcardinformatie, e-mailadressen, en in sommige gevallen adressen en telefoonnummers;
- KYC-documenten (uit onder andere SumSub en DevCode Identity), zoals identiteitsbewijzen en selfies die werden ingediend ter verificatie.
Merkur AG (voorheen Gauselmann) exploiteerde de lekke software voor zowel legale online casino’s als voor goksites die zonder vergunning opereren in bepaalde landen. Beide versies kenden dezelfde kwetsbaarheid, aldus Wittmann.
Naast de beveiligingsproblemen in de casinosoftware zelf, wijst Wittmann op kwetsbaarheden bij de integratie van externe betaaldiensten binnen de Duitse goksites betrokken bij het datalek.
Onder andere PaymentIQ, onderdeel van het grote Worldline, speelde een rol in de afhandeling van betalingen. Wittmann schrijft dat de infrastructuur waar ze toegang toe kreeg, ook kon worden misbruikt om zelf in- en uitbetalingen in accounts te initiëren. Zodoende kon ze fictief geld “storten” op accounts. Het uitbetalen van deze balansen vereiste handmatige goedkeuring waardoor er daar wel een extra vorm van beveiliging was aangebracht, maar dat het systeem lek en fraudegevoelig was, staat volgens Wittmann vast.
Merkur AG en toezichthouder reageren
Merkur AG heeft in een e-mail aan de betrokken spelers (zie foto rechts) bevestigd dat er een datalek heeft plaatsgevonden. Het stelt de spelers echter gerust dat het lek enkel door Wittmann is gebruikt. Omdat die volgens het bedrijf ter goeder trouw is en omdat ze geen kwade intenties heeft met de data, valt volgens Merkur AG de schade relatief mee.
Wittmann sluit zich daar niet zonder meer bij aan. Volgens haar is het onduidelijk of niet ook andere partijen de gegevens hebben gedownload in de periode waarin de kwetsbaarheid onbeveiligd was.
Na de melding van Wittmann kwam de Duitse toezichthouder GGL (Glücksspielbehörde) in actie en legde het de kwetsbaarheid vast. Daarna waarschuwde het de betrokken goksites. De GGL bevestigt op haar website het datalek en schrijft dat de Duitse goksites niet hebben voldaan aan de wettelijk verplichte jaarlijkse penetratietesten. De bedrijven hebben een waarschuwing ontvangen. Van een boete is vooralsnog geen sprake.
Na de waarschuwing van de GGL, dichtte Merkur AG het datalek bij de Duitse goksites.
Analyse Wittmann datalek Duitse goksites
Voordat Wittmann het lek doorgaf aan de toezichthouder die vervolgens ervoor zorgde dat het lek gedicht werd, downloade ze 200GB aan spelersdata.
Wittmann zegt op de spelersdata wetenschappelijk onderzoek te willen gaan uitvoeren. In haar publicatie deelt ze wel al direct een eerste bevinding. Zo stelt ze dat de spelersdata bevestigt dat de goksites tussen de 70% en 90% van hun omzet halen uit de 10% van spelers die maandelijks € 250 of meer uitgeven.
BRON:CASINONIEUWS.NL