Slotmagie / Merkurbet / Crazybuzzer gehackt
Hi,
habe gerade erfahren, dass Slotmagie gehackt worden ist!
Alle meine Daten sollen jetzt bei irgendwelchen Hackern unterwegs sein.
Was soll ich jetzt machen?
Sollte ich das der Polizei melden und Anzeige erstatten?
Seid ihr auch vom hack betroffen?
Soweit ich weiss ist alles betroffen. Ausweis Passbilder alles gehackt!
Diese Email habe ich erhalten:
Wir wenden uns heute an Sie, um Sie über eine kürzlich aufgetretene Datenschutzverletzung auf unserer Plattform slotmagie.de zu informieren: Unsere IT-Systeme wurden durch Hacker angegriffen. Diese haben sich unbefugten Zugriff auf Kundendaten verschafft. Da die Hacker zwar in höchstem Maße professionell, aber nicht kriminell handelten, haben sie die zuständige Aufsichtsbehörde informiert, die Daten jedoch nicht zum Nachteil unserer Kunden verwertet.
Wir legen größten Wert auf Transparenz und möchten Ihnen daher die Hintergründe erläutern sowie mögliche Risiken darlegen und Ihnen erklären, welche Schritte wir bereits eingeleitet haben.
Trotz umfangreicher Sicherheitsmaßnahmen wurde das IT-System eines unserer Dienstleisters Ziel eines Cyberangriffs. Dabei haben unbefugte Dritte, welche offenbar auf potenzielle Sicherheitslücken hinweisen möchten, Angriffspunkte in unseren Systemen entdeckt und Zugriff auf personenbezogene Kundendaten erhalten. Nach unserem aktuellen Kenntnisstand besteht allerdings keine Absicht dieser Aktivisten, die erlangten Informationen weiterzugeben oder zu missbrauchen.
Auf Basis der aktuellen Informationen betrifft der Vorfall folgende Kundendaten: Name, Adresse, Transaktionen und Kontodaten (falls diese vorlagen), Ausweisdaten, Fotos aus der Videoidentifizierung und Risikoeinstufungen hinsichtlich der Spielsuchtgefahr.
Wichtig ist: Ihre Passwörter wurden nicht entwendet und sind weiterhin sicher, sodass keine Änderung Ihrer Passwörter erforderlich ist. Sollten Sie dennoch ein höheres Sicherheitsgefühl wünschen, empfehlen wir Ihnen, Ihre Passwörter in regelmäßigen Abständen zu aktualisieren.
Soweit derzeit bekannt, richtete sich der Angriff primär gegen unser Unternehmen und nicht gezielt gegen einzelne Kunden. Es gibt keine Hinweise darauf, dass die gesichteten Daten für betrügerische Zwecke missbraucht wurden oder werden. Zudem erfolgte die Meldung an uns über die Gemeinsame Glücksspielbehörde der Länder (GGL) und nicht über die Hacker selbst. Dennoch beobachten wir die Situation sehr genau und stehen in engem Austausch mit unseren IT-Sicherheitsexperten sowie den zuständigen Behörden.
Obwohl wir die Gefahr als gering einschätzen, möchten wir Sie auf folgende potenzielle Risiken hinweisen:
Identitätsdiebstahl: Ihre Daten könnten für betrügerische Zwecke, zum Beispiel Vertragsabschlüsse, genutzt werden.
Phishing-Angriffe: Betrüger könnten Sie mithilfe persönlicher Daten gezielt per E-Mail, Telefon oder SMS kontaktieren, um weitere Informationen von Ihnen zu erlangen oder Sie zum Klicken auf schädliche Links zu bewegen.
Als Vorsichtsmaßnahme empfehlen wir Ihnen, wachsam zu bleiben, sensible Daten nicht unverschlüsselt zu versenden und Ihre Bank- und Kreditkartenrechnungen auf ungewöhnliche Transaktionen zu prüfen.
Mit Feststellung des Vorfalls haben wir umgehend alle notwendigen Maßnahmen eingeleitet, um die Sicherheit der Systeme wiederherzustellen. So haben wir die sofortige Schließung aller identifizierten Sicherheitslücken veranlasst. Die zuständigen Datenschutzbehörden sind vorschriftsgemäß informiert worden. Wir stehen weiterhin im Austausch mit der Gemeinsamen Glücksspielbehörde der Länder und arbeiten intensiv an den Schutzmechanismen.
Zudem überprüfen wir kontinuierlich unsere Sicherheitsmaßnahmen und aktualisieren interne Prozesse sowie Mitarbeiterschulungen, um künftig ähnliche Vorfälle zu verhindern. Darüber hinaus werden wir verstärkt Audits mit weiteren Sicherheitsexperten durchführen, um etwaige Schwachstellen frühzeitig zu erkennen, zu beseitigen und eine Wiederholung eines solchen Vorfalls zu unterbinden.
Falls Sie weitere Fragen zu diesem Vorfall haben, finden Sie zahlreiche Informationen in unseren dazu erstellten FAQs. Diese können Sie unter folgendem Link aufrufen: FAQs zum aktuellen Datenschutzfall
Wir danken Ihnen für Ihr Vertrauen und Ihre Unterstützung.
Mit freundlichen Grüßen
Ihr SlotMagie Team
Würdet ihr weiterhin da spielen jetzt überhaupt?
Es gibt einen interessanten Artikel mit folgendem Inhalt dazu:
Casinonutzer der Merkur-Gruppe verlieren nicht nur ihr Geld sondern auch ihre Daten
Das Casinounternehmen Merkur AG sowie dessen Dienstleister haben fast alle in ihrem Casinosystemen vorhandenen Daten öffentlich zugänglich gemacht. Darunter Zahlungsdaten, Spielsessions und Ausweiskopien von über einer Million Spieler. Für die Forschung ein Datenschatz, für die User ein Desaster.
Merkur Kundeninformation
Die Merkur AG (ehemals Gauselmann) betreibt in Deutschland eine Reihe von Casinos. Darunter merkurbets.de, crazybuzzer.de und slotmagie.de (lizenziert von Merkur an “the mill adventures”). Diese werden von verschiedenen maltesischen Firmen, die Töchter der Merkur AG sind, betrieben.
Die Portale verwenden alle die Casinosoftware der maltesischen Firma “the mill adventures”. Über die GraphQL-Schnittstelle des Casinobackends ließen sich unter anderem die folgenden Daten einfach abfragen:
Vorname und Nachname des Spielers
Spieler-ID, welche auch von der Glücksspielbehörde (GGL) benutzt wird, um statistische Daten zu erfassen. Diese Spielestatistiken lassen sich bei der GGL im Rahmen einer DSGVO Auskunft abfragen.
Zahlungsdaten, darunter Daten zu den folgenden Zahlungsdienstleistern:
TRUSTLY (104.291) — IBANs, Kontoinhaber, teilweise Adressen
PAYPAL (120.900) — Email-Adressen, teilweise Adressen
PAYLADO (1971) — Kontoinhaber, Telefonnummer
PAYSAFECARD (26.536) — Name, Geburtsdatum, teilweise Adresse
ADYEN (128.965) — Name, IBAN, teilweise Adresse, Kreditkartendetails
PAYMENT_IQ (31.487) — Name, IBAN/Kreditkartendetails, teilweise Adresse
SKRILL (912) — Email
Spielsessions mit allen Spielzügen, sowie IP-Adressen und Browser/User-Agent Details.
All diese Daten ließen sich via GraphQL — mit einem sehr, sehr großen Query — abfragen. Man musste dafür nicht einmal eingeloggt sein. Sondern konnte einfach über Querys namens “users”, “sessions” und “paymentOptionsV2” die Daten erhalten. Das System war also vollständig öffentlich zugänglich.
Auch Ein- und Auszahlungen waren frei zugänglich
Des Weiteren war eine Ein- und Auszahlwebseite im System von “the mill adventures” unter einer URL im Stil von https://api-tma1-prd.themill.tech//pay/launch/payment_iq?localeCode=en&sessionId=abc&type=WITHDRAWAL&userId={userID} öffentlich zugänglich. Darüber hätte jede beliebige Person in jedes beliebige Profil Ein- und Auszahlungen tätigen können. Dabei wurden aber Auszahlungen durch einen manuellen Freigabeprozess erschwert.
Ein und Auszahlungsprozess
Neben den Lücken in der API von “the mill adventures” selbst, gab es auch noch weitere Sicherheitslücken bei der Integration der Drittanbieter PaymentIQ (Bezahlabwicklung), DevCode Identity und SumSub (KYC-Checks).
Über einen Fehler in der Integration des KYC-Anbieters SumSub war es möglich, über 70.000 Ausweisfotos, Selfies sowie Adressnachweise aus dem KYC-Prozess abzurufen. Viele der dort eingereichten Dokumente zeichnen ein gutes Bild der prekären Lebenssituation der Spieler*innen.
Beispiele/Ausschnitte von Dokumenten zum Adressnachweis.
Auch illegale Casinos betroffen
“The mill adventures” betreibt eine legale und eine illegale Instanz ihrer Casinosoftware. Beide Instanzen verfügten über dieselben Sicherheitslücken. Bei den illegalen Instanzen ist es Dank der Daten der Casinonutzer möglich, diese einem Betreiber zuzuordnen. Indizien deuten darauf hin, dass einige der in Deutschland illegalen Casinowebseiten auch von Deutschen in Deutschland betrieben werden.
Dank der öffentlichen Zahlungsdaten ist mir jetzt z.B. bekannt, wo ein Manager eines illegalen Casinos sein Sparkassenkonto hat. Liebe Grüße nach Augsburg, Danny! Und LiGrü an den Bodensee, Christian!
Spannend dabei ist auch, wie die Software PaymentIQ, welche von einer Tochterfirma der Worldline AG entwickelt wird, Casinobetreibern dabei hilft, illegale Zahlungen effizient durchzuführen. Worldline besitzt zusammen mit der Sparkasse auch den Zahlungsdienstleister PayOne, welcher in der Vergangenheit im Kontext der Abwicklung von illegalen Zahlungen aufgefallen ist.
Die Zusammenarbeit zwischen “the mill adventures” und Merkur ist besonders bemerkenswert, weil Merkur sich in der Vergangenheit sehr stark von der illegalen Casinoindustrie distanziert hat.
Aufdeckung und Meldung an die GGL
Nachdem ich diese Lücken fand, übermittelte ich sie vorab an die Glücksspielbehörde (GGL), die so die Möglichkeit bekam, Beweise zu sichern und aufsichtsrechtliche Maßnahmen zu ergreifen. Die GGL mahnte die Anbieter nun öffentlich ab, da sie nicht — wie im Rahmen des Glücksspielstaatsvertrages vorgeschrieben — ihre Systeme jährlich durch einen Pentest prüfen ließen.
Öffentliche Abmahnungen durch die GGL
Die Merkur AG informierte heute ihre Nutzer*innen per E-Mail über den Datenabfluss. Sie beruft sich darauf, dass ich vertrauenswürdig sei und die Spieler*innen deshalb nicht gefährdet sind. Da die Daten aber defacto öffentlich waren und Merkur die Lücken erst schloss, als sie durch mich bzw die GGL gemeldet wurden, ist unklar, ob noch jemand anderes die Daten gefunden hat.
Datenschatz für die Forschung
Dank dieser Sicherheitslücken sowie weiteren Lücken bei dem Spielcompliance-Anbieter neccton verfüge ich jetzt über einen über 200GB großen Datensatz aus Online-Casinos. Dieser wird nun dafür eingesetzt, um Annahmen aus der Forschung statistisch belegen zu können.
Denn Online-Glücksspiel ist trotz der Legalisierung und damit einhergehenden Regulierung des Marktes weiterhin eine Black-Box. Und das obwohl sogar die GGL selbst über genug statistische Daten verfügt, um eine datenbasierte gesellschaftliche Debatte zu ermöglichen. Besonders wichtig wären dabei aus meiner Sicht der Schutz von Menschen mit Spielsucht und jungen Erwachsenen.
Leider werden die GGL-Daten bis heute nicht zu diesem Zweck eingesetzt, weswegen die Forschung weiterhin auf Umfragen sowie die Aussagen der Anbieter angewiesen ist.
Erste Auswertungen
Erste Auswertungen lassen darauf schließen, dass Anbieter (außer Lotto) zwischen 70% und 90% ihres Umsatzes mit unter 10% der Spieler erwirtschaften, welche regelmäßig 250€ und mehr pro Monat für Glücksspiel ausgeben.
Den kompletten Artikel könnt ihr hier einsehen:
https://lilithwittmann.medium.com/casinonutzer-der-merkur-gruppe-verlieren-nicht-nur-ihr-geld-sondern-auch-ihre-daten-ef6710184f7c
Hi Frank, ich habe auch diese Mail erhalten und bin gerade dabei, gemäß Artikel 82 der Datenschutz-Grundverordnung (DSGVO) Schadensersatz einzufordern. Hierzu habe ich erst mal eine E-Mail an Slotmagie geschickt, in der ich Schadensersatz einzuforder mit einer Frist. Meine erste Mail wurde vom Support mit einer Standardantwort abgewimmelt.
Ich habe jetzt noch eine Mail geschrieben mit einer 7 Tage Frist. Sollte diese unbeantwortet bleiben, werde ich Klage einreichen.
Am besten ist eine Sammelklage, also falls das hier noch jemand ließt, der auch die Mails bekommen hat, bitte meldet euch damit wir mehr Leute werden.
Normal liegt die Schadensersatzhöhe zwischen 500-5000 €. Das müsste wir am besten natürlich über einen Anwalt machen.
Ich halte dich hier gerne auf dem Laufenden. Im Moment hat Slotmagie noch 7 Tage Zeit zu antworten.
Falls ich keine Antwort bekomme, habe ich schon gesagt reiche in Klage ein und informiere die zuständige Datenschutzbehörde.
LG Greg
Vielleicht erstmal bei SlotMagie Fragen, welche deiner Daten tatsächlich betroffen sind? Da scheinen ja teils ziemlich sensible Daten betroffen zu sein, aber ist denn schon sicher, dass das auch auf dich zutrifft? Davon abhängig, kannst du dann einen Anwalt wie WBS damit beauftragen Schadensersatz geltend zu machen. Oder auch einen Anbieter wie kleinfee oder die Protectra GmbH beauftragen, die kosten nicht direkt was, sondern nehmen nur im Erfolgsfall eine Provision.
Das mit der Klage ist wirklich interessant ob jetzt die nächste Klagewelle kommt.
Die Hackerin hat jetzt noch auf ihrem linkedin Profil geschrieben, dass eventuell die Lücken noch gar nicht beseitigt waren.
Das komische ist nämlich, dass die Seiten alle ausgeschaltet worden sind gestern. Und zudem gab es noch einen Lugas Ausfall gestern. Ob das alles so zufällig ist weiß man auch nicht so richtig.
Ich habe einen Screenshot der Hackerin von Slotmagie hier mit gepostet!
Eigentlich verstehe ich sowieso die Leute nicht wieso die bei den gehackten Anbietern spielen. Die Auszahlungsquoten sind komplett Schrott.
Wieso vergleicht keiner die RTP? Bei zum Beispiel lapalingo.de gibt es die ganzen Slots noch mit über 94% und nicht kranken 85% wie bei denen!
@No_Look
Die betroffenen Daten wurden bereits in der Mail klar aufgelistet, daher besteht hier keine Unklarheit.
Entscheidend ist jetzt, nach Artikel 82 DSGVO Schadensersatz einzufordern!
Lasst euch nicht abwimmeln – das ist für das Casino ein ernstes Problem, besonders da sie eine deutsche Lizenz haben und sich somit an strengere Vorschriften halten müssen.
