Open in app

Sign in

Write

Sign in

Home

Library

Stories

Stats

Mastodon

Casinonutzer der Merkur-Gruppe verlieren nicht nur ihr Geld sondern auch ihre Daten

Lilith Wittmann

Das Casinounternehmen Merkur AG sowie dessen Dienstleister haben fast alle in ihrem Casinosystemen vorhandenen Daten öffentlich zugänglich gemacht. Darunter Zahlungsdaten, Spielsessions und Ausweiskopien von über einer Million Spieler. Für die Forschung ein Datenschatz, für die User ein Desaster.

Merkur Kundeninformation

Die Merkur AG (ehemals Gauselmann) betreibt in Deutschland eine Reihe von Casinos. Darunter merkurbets.de, crazybuzzer.de und slotmagie.de (lizenziert von Merkur an “the mill adventures”). Diese werden von verschiedenen maltesischen Firmen, die Töchter der Merkur AG sind, betrieben.

Die Portale verwenden alle die Casinosoftware der maltesischen Firma “the mill adventures”. Über die GraphQL-Schnittstelle des Casinobackends ließen sich unter anderem die folgenden Daten einfach abfragen:

Vorname und Nachname des Spielers

Spieler-ID, welche auch von der Glücksspielbehörde (GGL) benutzt wird, um statistische Daten zu erfassen. Diese Spielestatistiken lassen sich bei der GGL im Rahmen einer DSGVO Auskunft abfragen.

Zahlungsdaten, darunter Daten zu den folgenden Zahlungsdienstleistern:

  • TRUSTLY (104.291) — IBANs, Kontoinhaber, teilweise Adressen
  • PAYPAL (120.900) — Email-Adressen, teilweise Adressen
  • PAYLADO (1971) — Kontoinhaber, Telefonnummer
  • PAYSAFECARD (26.536) — Name, Geburtsdatum, teilweise Adresse
  • ADYEN (128.965) — Name, IBAN, teilweise Adresse, Kreditkartendetails
  • PAYMENT_IQ (31.487) — Name, IBAN/Kreditkartendetails, teilweise Adresse
  • SKRILL (912) — Email

Spielsessions mit allen Spielzügen, sowie IP-Adressen und Browser/User-Agent Details.

All diese Daten ließen sich via GraphQL — mit einem sehr, sehr großen Query — abfragen. Man musste dafür nicht einmal eingeloggt sein. Sondern konnte einfach über Querys namens “users”, “sessions” und “paymentOptionsV2” die Daten erhalten. Das System war also vollständig öffentlich zugänglich.

Auch Ein- und Auszahlungen waren frei zugänglich

Des Weiteren war eine Ein- und Auszahlwebseite im System von “the mill adventures” unter einer URL im Stil von https://api-tma1-prd.themill.tech//pay/launch/payment_iq?localeCode=en&sessionId=abc&type=WITHDRAWAL&userId={userID} öffentlich zugänglich. Darüber hätte jede beliebige Person in jedes beliebige Profil Ein- und Auszahlungen tätigen können. Dabei wurden aber Auszahlungen durch einen manuellen Freigabeprozess erschwert.

Ein und Auszahlungsprozess

Ich habe erfolgreich ein illegales Casino um 3 Litecoin erleichtert, was mir allerdings erst nach Veröffentlichung dieser Recherche aufgefallen ist. Ich testete sehr intensiv den Zugang zu Ein- und Auszahlungen unter der Annahme, dass diese immer manuell verifiziert werden. Eine einzelne Auszahlung war allerdings dann doch erfolgreich. Und somit habe ich den Betreiber-Testaccount eines illegalen Casinos um etwa 200€ erleichtert. Die er mir aber ja freiwillig überwiesen hat.

3 Litecoin in meiner Wallet.

Neben den Lücken in der API von “the mill adventures” selbst, gab es auch noch weitere Sicherheitslücken bei der Integration der Drittanbieter PaymentIQ (Bezahlabwicklung), DevCode Identity und SumSub (KYC-Checks).

Über einen Fehler in der Integration des KYC-Anbieters SumSub war es möglich, über 70.000 Ausweisfotos, Selfies sowie Adressnachweise aus dem KYC-Prozess abzurufen. Viele der dort eingereichten Dokumente zeichnen ein gutes Bild der prekären Lebenssituation der Spieler*innen.

Beispiele/Ausschnitte von Dokumenten zum Adressnachweis.

Auch illegale Casinos betroffen

“The mill adventures” betreibt eine legale und eine illegale Instanz ihrer Casinosoftware. Beide Instanzen verfügten über dieselben Sicherheitslücken. Bei den illegalen Instanzen ist es Dank der Daten der Casinonutzer möglich, diese einem Betreiber zuzuordnen. Indizien deuten darauf hin, dass einige der in Deutschland illegalen Casinowebseiten auch von Deutschen in Deutschland betrieben werden.

Dank der öffentlichen Zahlungsdaten ist mir jetzt z.B. bekannt, wo ein Manager eines illegalen Casinos sein Sparkassenkonto hat. Liebe Grüße nach Augsburg, Danny! Und LiGrü an den Bodensee, Christian!

Spannend dabei ist auch, wie die Software PaymentIQ, welche von einer Tochterfirma der Worldline AG entwickelt wird, Casinobetreibern dabei hilft, illegale Zahlungen effizient durchzuführen. Worldline besitzt zusammen mit der Sparkasse auch den Zahlungsdienstleister PayOne, welcher in der Vergangenheit im Kontext der Abwicklung von illegalen Zahlungen aufgefallen ist.

Die Zusammenarbeit zwischen “the mill adventures” und Merkur ist besonders bemerkenswert, weil Merkur sich in der Vergangenheit sehr stark von der illegalen Casinoindustrie distanziert hat.

Aufdeckung und Meldung an die GGL

Nachdem ich diese Lücken fand, übermittelte ich sie vorab an die Glücksspielbehörde (GGL), die so die Möglichkeit bekam, Beweise zu sichern und aufsichtsrechtliche Maßnahmen zu ergreifen. Die GGL mahnte die Anbieter nun öffentlich ab, da sie nicht — wie im Rahmen des Glücksspielstaatsvertrages vorgeschrieben — ihre Systeme jährlich durch einen Pentest prüfen ließen.

Öffentliche Abmahnungen durch die GGL

Die Merkur AG informierte heute ihre Nutzer*innen per E-Mail über den Datenabfluss. Sie beruft sich darauf, dass ich vertrauenswürdig sei und die Spieler*innen deshalb nicht gefährdet sind. Da die Daten aber defacto öffentlich waren und Merkur die Lücken erst schloss, als sie durch mich bzw die GGL gemeldet wurden, ist unklar, ob noch jemand anderes die Daten gefunden hat.

Datenschatz für die Forschung

Dank dieser Sicherheitslücken sowie weiteren Lücken bei dem Spielcompliance-Anbieter neccton verfüge ich jetzt über einen über 200GB großen Datensatz aus Online-Casinos. Dieser wird nun dafür eingesetzt, um Annahmen aus der Forschung statistisch belegen zu können.

Denn Online-Glücksspiel ist trotz der Legalisierung und damit einhergehenden Regulierung des Marktes weiterhin eine Black-Box. Und das obwohl sogar die GGL selbst über genug statistische Daten verfügt, um eine datenbasierte gesellschaftliche Debatte zu ermöglichen. Besonders wichtig wären dabei aus meiner Sicht der Schutz von Menschen mit Spielsucht und jungen Erwachsenen.

Leider werden die GGL-Daten bis heute nicht zu diesem Zweck eingesetzt, weswegen die Forschung weiterhin auf Umfragen sowie die Aussagen der Anbieter angewiesen ist.

Erste Auswertungen

Erste Auswertungen lassen darauf schließen, dass Anbieter (außer Lotto) zwischen 70% und 90% ihres Umsatzes mit unter 10% der Spieler erwirtschaften, welche regelmäßig 250€ und mehr pro Monat für Glücksspiel ausgeben.

Über diese iGaming-Industrie lässt sich schon jetzt sagen, dass ihr eigentlich alles egal ist — Spielerschutz? Datenschutz? 🤷🏻‍♀️— Hauptsache das Geld fließt. Und das tut es leider.

Das ist der erste Artikel in einer Serie zu Glücksspiel im Internet. Wenn ihr meine zivilgesellschaftliche Arbeit zu Themen wie z.B. Verwaltungsdigitalisierung, Sicherheitsforschung und Open Data unterstützen wollt, dann könnt ihr das via 💸Patreon💸 tun. Und wenn ihr bei meiner nächsten Recherche live dabei sein wollt, dann folgt mir auf LinkedIn, Twitter oder Mastodon.

UPDATES

  • 13.03–22:00 Merkur beginnt damit die User zu informieren.
  • 14.03–18:00 Dieser Report wird veröffentlicht.
  • 15.03–16:00 Momentan sind die Casinos slotmagie, crazybuzzer und merkurbets im Wartungsmodus. Eine gute Nachricht für Spieler*innen. Statistisch gesehen werden sie pro Offline-Tag 250.000 € nicht einzahlen und mindestens 190.000 € nicht verlieren. (Da es ein Samstag mit Fussballspielen ist, aber vermutlich wohl eher das Doppelte)
Casinos im Wartungsmodus.
  • 15.03–20:45 Heise Online berichtet.
  • 15.03–21:00 Auf den Webseiten der Casinos steht momentan sie seien wegen eines Ausfalles des Lugas-Systems nicht erreichbar. Das ist komisch, da sowohl andere Casinos von Merkur (z.B. Jackpotpiraten) weiterhin funktioniert. Auch die Statusseite von the mill weist keine Probleme mit dem LUGAS-System aus. Es könnte allerdings sein, dass das LUGAS-System für Merkur-Casinos abgeschaltet wurde.
  • 15.03–22:00 Mittlerweile häufen sich Meldungen das LUGAS teilweise auch für andere Anbieter nicht funktioniert. Die anderen Casinos wurden aber alle nicht vollständig offline genommen.
  • 15.03–22:30 Alle Merkur-Portale sind wieder online.
Lugas: Operational
  • 17.03–21:30 Beim deinstallieren meiner Cryptowallet habe ich festgestellt, dass eine der Abbuchungen aus den illegalen Casinos erfolgreich war — ich habe somit ein Casino um 200€ bestohlen und das oben im Artikel ergänzt.

Wenn Du Hinweise zum Datenabfluss bei Merkur oder anderen Casinos für mich hast, kontaktiere ihr mich sehr gerne via Threema: K4K2Z2P8.

Igaming
Gambling

Responses (4)

Write a response

What are your thoughts?

Theordor Fontaane

2 days ago

Ihr Datenschatz in den richtigen Händen könnte viel bewegen und vor allem das Thema wieder auf die politische Agenda bringen. Ich bin an einigen Punkten wirklich extrem tief in der Materie und melde großes Interesse an einer Kooperation an.

--

Garfield

3 days ago

Vielen Dank für deinen tollen Artikel - als Spieler öffnet es einem wieder einmal mehr die Augen, dass es doch nicht um Spielerschutz geht, sondern nur ein Deckmantel für ein fungierende Gelddruckmaschinerie ist.
Den selbst im Spielerschutz gibt es…

--

Pedrooooida

2 days ago

Super! Vielen vielen Dank für deine Arbeit!
Ich fordere gerade nach Artikel 82 der Datenschutz-Grundverordnung (DSGVO) Schadensersatz und werde Klage einreichen falls Slotmagie nicht zahlt.

--

More from Lilith Wittmann

Recommended from Medium

See more recommendations

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams