Ich hatte gestern Abend eine beängstigende Mail von Merkur Casino Anbieter sowie Wettveranstalter Merkur Bets im Postfach.
Folgendes wurde mir mitgeteilt und sicher Tausenden anderen Spielern:
Hallo Lucien,
wir wenden uns heute an Sie, um Sie über eine kürzlich aufgetretene Datenschutzverletzung auf unserer Plattform merkurbets.de zu informieren: Unsere IT-Systeme wurden durch Hacker angegriffen. Diese haben sich unbefugten Zugriff auf Kundendaten verschafft. Da die Hacker zwar in höchstem Maße professionell, aber nicht kriminell handelten, haben sie die zuständige Aufsichtsbehörde informiert, die Daten jedoch nicht zum Nachteil unserer Kunden verwertet.
Wir legen größten Wert auf Transparenz und möchten Ihnen daher die Hintergründe erläutern sowie mögliche Risiken darlegen und Ihnen erklären, welche Schritte wir bereits eingeleitet haben.
Trotz umfangreicher Sicherheitsmaßnahmen wurde das IT-System eines unserer Dienstleisters Ziel eines Cyberangriffs. Dabei haben unbefugte Dritte, welche offenbar auf potenzielle Sicherheitslücken hinweisen möchten, Angriffspunkte in unseren Systemen entdeckt und Zugriff auf personenbezogene Kundendaten erhalten. Nach unserem aktuellen Kenntnisstand besteht allerdings keine Absicht dieser Aktivisten, die erlangten Informationen weiterzugeben oder zu missbrauchen.
Auf Basis der aktuellen Informationen betrifft der Vorfall folgende Kundendaten: Name, Adresse, Transaktionen und Kontodaten (falls diese vorlagen), Ausweisdaten, Fotos aus der Videoidentifizierung und Risikoeinstufungen hinsichtlich der Spielsuchtgefahr.
Wichtig ist: Ihre Passwörter wurden nicht entwendet und sind weiterhin sicher, sodass keine Änderung Ihrer Passwörter erforderlich ist. Sollten Sie dennoch ein höheres Sicherheitsgefühl wünschen, empfehlen wir Ihnen, Ihre Passwörter in regelmäßigen Abständen zu aktualisieren.
Soweit derzeit bekannt, richtete sich der Angriff primär gegen unser Unternehmen und nicht gezielt gegen einzelne Kunden. Es gibt keine Hinweise darauf, dass die gesichteten Daten für betrügerische Zwecke missbraucht wurden oder werden. Zudem erfolgte die Meldung an uns über die Gemeinsame Glücksspielbehörde der Länder (GGL) und nicht über die Hacker selbst. Dennoch beobachten wir die Situation sehr genau und stehen in engem Austausch mit unseren IT-Sicherheitsexperten sowie den zuständigen Behörden.
Obwohl wir die Gefahr als gering einschätzen, möchten wir Sie auf folgende potenzielle Risiken hinweisen:
Identitätsdiebstahl: Ihre Daten könnten für betrügerische Zwecke, zum Beispiel Vertragsabschlüsse, genutzt werden.
Phishing-Angriffe: Betrüger könnten Sie mithilfe persönlicher Daten gezielt per E-Mail, Telefon oder SMS kontaktieren, um weitere Informationen von Ihnen zu erlangen oder Sie zum Klicken auf schädliche Links zu bewegen.
Als Vorsichtsmaßnahme empfehlen wir Ihnen, wachsam zu bleiben, sensible Daten nicht unverschlüsselt zu versenden und Ihre Bank- und Kreditkartenrechnungen auf ungewöhnliche Transaktionen zu prüfen.
Mit Feststellung des Vorfalls haben wir umgehend alle notwendigen Maßnahmen eingeleitet, um die Sicherheit der Systeme wiederherzustellen. So haben wir die sofortige Schließung aller identifizierten Sicherheitslücken veranlasst. Die zuständigen Datenschutzbehörden sind vorschriftsgemäß informiert worden. Wir stehen weiterhin im Austausch mit der Gemeinsamen Glücksspielbehörde der Länder und arbeiten intensiv an den Schutzmechanismen.
Zudem überprüfen wir kontinuierlich unsere Sicherheitsmaßnahmen und aktualisieren interne Prozesse sowie Mitarbeiterschulungen, um künftig ähnliche Vorfälle zu verhindern. Darüber hinaus werden wir verstärkt Audits mit weiteren Sicherheitsexperten durchführen, um etwaige Schwachstellen frühzeitig zu erkennen, zu beseitigen und eine Wiederholung eines solchen Vorfalls zu unterbinden.
Mit freundlichen Grüßen,
Ihr MERKUR BETS Team
Ich empfehle euch PASSWORT ändern und passt in Zukunft bei allen eingehen Mails auf. Pishing-Alarm! Dennoch halten dem Online Casino Deutschland die Stange - sicherlich wird man die Treue bald mit extra Merkur Casino Bonus vergüten.
Mein Beitrag zum Thema Merkur Online Casino gehackt: https://spinsfactory.com/merkur-bets-aktivisten-verueben-cyberattacke-auf-online-casino-und-wettportal-2628/
Wer hat da gepennt? War die IT eine rauchen wie bei mir auf Arbeit des Öfteren 😋 Nur gut, ich spiele im Betano Casino, die haben da mehr Erfahrung und mehr Angebote. Glaube Merkur muss in die Online Casino Schiene noch reinwachsen. Spiele ja, aber anbieten...
Prima,
wie beim Fratzenbook oder bei Wise. Ganz schlimm ist Wise, seitdem erhalte ich täglich mehrere Spammails mit Potenzmittel und Co. Jedes Mal neu als Junkmail melden, aber die wechseln laufend die Adressen. Da habe ich zum Glück kein Konto.
Weitere Informationen zu dem Vorfall gibt es unter von der Hacktivistin Lilith Wittmann, bei der GGL und bei dem Rechtsdienstleister Protectra.
Vielleicht waren es wirklich nur irgendwelche Aktivisten. Nun sitzen die in Espelkamp am Rechner und bekommen ordentlich Kohle. Das wird ja niemand verraten. Wenn die das der Behörde gemeldet haben und nicht Geld erpressen wollten, dann könnte schon was dran sein.
@gauselmann69 Meistens geht es ja darum, E-Mail Adressen abzuziehen und für Pishing- oder Scam Mails zu nutzen. Meinst du, die möchten damit erpressen?
Ist schon eine skurrile Situation. Erstmal finde ich cool "Hacktivisten" neues Wort gelernt @lucien. @gauselmann69 und @anna-mueller es kann schon sein, dass es eine Hackergruppe gibt, die legal Geld mit Cyberangriffen machen. Schwachstellen aufdecken und dann in den erweiterten Beratungsstab der IT-Systeme rücken. Da lässt sich bestimmt gut Geld mit machen.
An Geld kommen sie so ja normalerweise nicht - bei jeder Zahlung muss man sich ja inzwischen 2fach authentifizieren.
Ich habe zufällig noch mehr Berichte zum Thema gelesen. Die Presse stürzt sich förmlich auf den Datencrash.
Wundern tue ich mich über die Verwicklung mit The Mill Adventure. Die hatten mal vor 1-2 Jahren Merkur Slots Casino in Deutschland und glaube auch SlotMagie. Jetzt haben die nichts mehr, aber stellen laut Heise Artikel die Software.
Warum Gauselmann für Merkur Casino online nicht edict verwendet frage ich mich. Ist die deutsche Software wie bei den Autos schon wieder altbacken? Machen es andere besser?
Mehr Details:
Ungesichertes GraphQL
Am Vorabend hatte die Sicherheitsforscherin Lilith Wittmann in einem Blogpost auf ein bis kurz zuvor existierendes massives Datenschutzproblem hingewiesen: Zahlreiche Daten von mehreren Hunderttausenden Spielern waren über APIs der Casinos abrufbar. Bereits am Donnerstag hatte der Anbieter die Spieler über eine Sicherheitslücke und einen damit einhergehenden Datenabfluss am Dienstagabend informiert.
Zum Einsatz kommt dort eine GraphQL-Schnittstelle, die auch verschachtelte Abrufe von mehreren Objekten zugleich erlaubt. Unberechtigte Abfragen sollten eigentlich durch ein funktionierendes Berechtigungsmanagement verhindert werden, was hier aber nicht der Fall war. Wittmann fand nicht nur Daten wie vollständige Namen und Kontoinformationen, sondern auch Spielverläufe sowie Ein- und Auszahlungen der Spieler. Bei vielen kamen auch Informationen dazu, mit denen diese sich gegenüber dem Glücksspielanbieter legitimierten.
Laut den Reports, mit denen Wittmann die Glücksspielbehörde der Länder (GGL) informiert hatte, und die heise online vorliegen, waren darin auch unter anderem Kopien von Personalausweisen und Schreiben von Arbeitsagenturen zu finden. Allein bei den Ausweisen sollen es über 70.000 Exemplare gewesen sein, insgesamt fanden sich Daten von über 800.000 Personen. Legitimation von Kunden, unter anderem durch Ausweise, ist für manche Onlineanbieter im Zuge von "Know-Your-Customer"-Verfahren (KYC) rechtlich vorgeschrieben.
Ist mir auch in einem Blog begegnet mit dem Hinweis: "Casinonutzer der Merkur-Gruppe verlieren nicht nur ihr Geld sondern auch ihre Daten"
Hier stürzen sich ja die Datenpiraten Deutschlands drauf wie die Fliegen auf einen Haufen Hundescheisse.Weitere Informationen zu dem Vorfall gibt es unter von der Hacktivistin Lilith Wittmann, bei der GGL und bei dem Rechtsdienstleister Protectra.
Da hatten aber auch andere Online Casinos Probleme. Ich konnte am Wochenende auch nicht bei Tipico einzahlen.
Beruhigend... Adressdaten, Ausweis, Telefonummern und auch Zahlungsinformationen sind bei legalen Casinos ja soooo sicher