Am Nachmittag des 15. März 2025 sind die Webseiten der Online-Glücksspielanbieter Slotmagie, Crazybuzzer und Merkurbets in einen Wartungsmodus versetzt worden. Sie gehören der Merkur.com AG, einem der größten deutschen Unternehmen für Glücksspiele aller Art. Die Spielangebote gingen nach Beobachtungen von heise online am Samstagnachmittag zwischen 14 und 16 Uhr vom Netz. Die Webseiten sind noch erreichbar, Spiele sind dort jedoch zum Zeitpunkt dieser Meldung nicht mehr möglich.

Am Vorabend hatte die Sicherheitsforscherin Lilith Wittmann in einem Blogpost auf ein bis kurz zuvor existierendes massives Datenschutzproblem hingewiesen: Zahlreiche Daten von mehreren Hunderttausenden Spielern waren über APIs der Casinos abrufbar. Bereits am Donnerstag hatte der Anbieter die Spieler über eine Sicherheitslücke und einen damit einhergehenden Datenabfluss am Donnerstagabend informiert.

Ungesichertes GraphQL

Zum Einsatz kommt dort eine GraphQL-Schnittstelle, die auch verschachtelte Abrufe von mehreren Objekten zugleich erlaubt. Unberechtigte Abfragen sollten eigentlich durch ein funktionierendes Berechtigungsmanagement verhindert werden, was hier aber nicht der Fall war. Wittmann fand nicht nur Daten wie vollständige Namen und Kontoinformationen, sondern auch Spielverläufe sowie Ein- und Auszahlungen der Spieler. Bei vielen kamen auch Informationen dazu, mit denen diese sich gegenüber dem Glücksspielanbieter legitimierten.

Laut den Reports, mit denen Wittmann die Glücksspielbehörde der Länder (GGL) informiert hatte, und die heise online vorliegen, waren darin auch unter anderem Kopien von Personalausweisen und Schreiben von Arbeitsagenturen zu finden. Allein bei den Ausweisen sollen es über 70.000 Exemplare gewesen sein, insgesamt fanden sich Daten von über 800.000 Personen. Legitimation von Kunden, unter anderem durch Ausweise, ist für manche Onlineanbieter im Zuge von "Know-Your-Customer"-Verfahren (KYC) rechtlich vorgeschrieben.

Alle Casinos mit Software von "The Mill" offline

Die Merkur-Gruppe nutzt in Ihren Casinos eine Portalsoftware der maltesischen Firma "The Mill Adventures". Diese verfügte über eine unzureichend geschützte GraphQL-Schnittstelle. Wittmann zufolge betreibt das Unternehmen neben einer legalen Instanz seiner Software auch eine weitere für einige in Deutschland nicht legale Online-Casinos. Nach Stichproben am frühen Samstagabend sind auch diese mutmaßlich illegalen Casinos vorerst nicht mehr erreichbar.

Warum offenbar alle Casinos mit The Mill-Software nun nicht mehr erreichbar sind, bleibt vorerst offen. Den Warnungen, welche die Merkur-Group auf ihren Webseiten und per E-Mail über einen sogenannten "aktuellen Datenschutzfall" informiert, kann man sich nur anschließen: Wer bei einem der Casinos Kunde war oder ist, sollte verstärkt auf möglicherweise illegale Aktivitäten auf seinen Bankkonten oder Versuche des Identitätsbetrugs achten.

Wie Lilith Wittmann heise online sagte, ist der unmittelbare und anonyme Zugriff auf die Daten seit einigen Tagen nicht mehr möglich. Es ist jedoch nicht auszuschließen, dass schon vor ihren Zugriffen seit Ende Februar auch andere den Datenschatz der Casinos kopiert haben könnten.