Casinonutzer der Merkur-Gruppe verlieren nicht nur ihr Geld sondern auch ihre Daten
Das Casinounternehmen Merkur AG sowie dessen Dienstleister haben fast alle in ihrem Casinosystemen vorhandenen Daten öffentlich zugänglich gemacht. Darunter Zahlungsdaten, Spielsessions und Ausweiskopien von über einer Million Spieler. Für die Forschung ein Datenschatz, für die User ein Desaster.

Die Merkur AG (ehemals Gauselmann) betreibt in Deutschland eine Reihe von Casinos. Darunter merkurbets.de, crazybuzzer.de und slotmagie.de (lizenziert von Merkur an “the mill adventures”). Diese werden von verschiedenen maltesischen Firmen, die Töchter der Merkur AG sind, betrieben.
Die Portale verwenden alle die Casinosoftware der maltesischen Firma “the mill adventures”. Über die GraphQL-Schnittstelle des Casinobackends ließen sich unter anderem die folgenden Daten einfach abfragen:
Vorname und Nachname des Spielers
Spieler-ID, welche auch von der Glücksspielbehörde (GGL) benutzt wird, um statistische Daten zu erfassen. Diese Spielestatistiken lassen sich bei der GGL im Rahmen einer DSGVO Auskunft abfragen.
Zahlungsdaten, darunter Daten zu den folgenden Zahlungsdienstleistern:
- TRUSTLY (104.291) — IBANs, Kontoinhaber, teilweise Adressen
- PAYPAL (120.900) — Email-Adressen, teilweise Adressen
- PAYLADO (1971) — Kontoinhaber, Telefonnummer
- PAYSAFECARD (26.536) — Name, Geburtsdatum, teilweise Adresse
- ADYEN (128.965) — Name, IBAN, teilweise Adresse, Kreditkartendetails
- PAYMENT_IQ (31.487) — Name, IBAN/Kreditkartendetails, teilweise Adresse
- SKRILL (912) — Email
Spielsessions mit allen Spielzügen, sowie IP-Adressen und Browser/User-Agent Details.
All diese Daten ließen sich via GraphQL — mit einem sehr, sehr großen Query — abfragen. Man musste dafür nicht einmal eingeloggt sein. Sondern konnte einfach über Querys namens “users”, “sessions” und “paymentOptionsV2” die Daten erhalten. Das System war also vollständig öffentlich zugänglich.
Auch Ein- und Auszahlungen waren frei zugänglich
Des Weiteren war eine Ein- und Auszahlwebseite im System von “the mill adventures” unter einer URL im Stil von https://api-tma1-prd.themill.tech//pay/launch/payment_iq?localeCode=en&sessionId=abc&type=WITHDRAWAL&userId={userID} öffentlich zugänglich. Darüber hätte jede beliebige Person in jedes beliebige Profil Ein- und Auszahlungen tätigen können. Dabei wurden aber Auszahlungen durch einen manuellen Freigabeprozess erschwert.

Neben den Lücken in der API von “the mill adventures” selbst, gab es auch noch weitere Sicherheitslücken bei der Integration der Drittanbieter PaymentIQ (Bezahlabwicklung), DevCode Identity und SumSub (KYC-Checks).
Über einen Fehler in der Integration des KYC-Anbieters SumSub war es möglich, über 70.000 Ausweisfotos, Selfies sowie Adressnachweise aus dem KYC-Prozess abzurufen. Viele der dort eingereichten Dokumente zeichnen ein gutes Bild der prekären Lebenssituation der Spieler*innen.


Auch illegale Casinos betroffen
“The mill adventures” betreibt eine legale und eine illegale Instanz ihrer Casinosoftware. Beide Instanzen verfügten über dieselben Sicherheitslücken. Bei den illegalen Instanzen ist es Dank der Daten der Casinonutzer möglich, diese einem Betreiber zuzuordnen. Indizien deuten darauf hin, dass einige der in Deutschland illegalen Casinowebseiten auch von Deutschen in Deutschland betrieben werden.
Dank der öffentlichen Zahlungsdaten ist mir jetzt z.B. bekannt, wo ein Manager eines illegalen Casinos sein Sparkassenkonto hat. Liebe Grüße nach Augsburg, Danny! Und LiGrü an den Bodensee, Christian!
Spannend dabei ist auch, wie die Software PaymentIQ, welche von einer Tochterfirma der Worldline AG entwickelt wird, Casinobetreibern dabei hilft, illegale Zahlungen effizient durchzuführen. Worldline besitzt zusammen mit der Sparkasse auch den Zahlungsdienstleister PayOne, welcher in der Vergangenheit im Kontext der Abwicklung von illegalen Zahlungen aufgefallen ist.
Die Zusammenarbeit zwischen “the mill adventures” und Merkur ist besonders bemerkenswert, weil Merkur sich in der Vergangenheit sehr stark von der illegalen Casinoindustrie distanziert hat.
Aufdeckung und Meldung an die GGL
Nachdem ich diese Lücken fand, übermittelte ich sie vorab an die Glücksspielbehörde (GGL), die so die Möglichkeit bekam, Beweise zu sichern und aufsichtsrechtliche Maßnahmen zu ergreifen. Die GGL mahnte die Anbieter nun öffentlich ab, da sie nicht — wie im Rahmen des Glücksspielstaatsvertrages vorgeschrieben — ihre Systeme jährlich durch einen Pentest prüfen ließen.

Die Merkur AG informierte heute ihre Nutzer*innen per E-Mail über den Datenabfluss. Sie beruft sich darauf, dass ich vertrauenswürdig sei und die Spieler*innen deshalb nicht gefährdet sind. Da die Daten aber defacto öffentlich waren und Merkur die Lücken erst schloss, als sie durch mich bzw die GGL gemeldet wurden, ist unklar, ob noch jemand anderes die Daten gefunden hat.
Datenschatz für die Forschung
Dank dieser Sicherheitslücken sowie weiteren Lücken bei dem Spielcompliance-Anbieter neccton verfüge ich jetzt über einen über 200GB großen Datensatz aus Online-Casinos. Dieser wird nun dafür eingesetzt, um Annahmen aus der Forschung statistisch belegen zu können.
Denn Online-Glücksspiel ist trotz der Legalisierung und damit einhergehenden Regulierung des Marktes weiterhin eine Black-Box. Und das obwohl sogar die GGL selbst über genug statistische Daten verfügt, um eine datenbasierte gesellschaftliche Debatte zu ermöglichen. Besonders wichtig wären dabei aus meiner Sicht der Schutz von Menschen mit Spielsucht und jungen Erwachsenen.
Leider werden die GGL-Daten bis heute nicht zu diesem Zweck eingesetzt, weswegen die Forschung weiterhin auf Umfragen sowie die Aussagen der Anbieter angewiesen ist.

Erste Auswertungen lassen darauf schließen, dass Anbieter (außer Lotto) zwischen 70% und 90% ihres Umsatzes mit unter 10% der Spieler erwirtschaften, welche regelmäßig 250€ und mehr pro Monat für Glücksspiel ausgeben.
Über diese iGaming-Industrie lässt sich schon jetzt sagen, dass ihr eigentlich alles egal ist — Spielerschutz? Datenschutz? 🤷🏻♀️— Hauptsache das Geld fließt. Und das tut es leider.
Das ist der erste Artikel in einer Serie zu Glücksspiel im Internet. Wenn ihr meine zivilgesellschaftliche Arbeit zu Themen wie z.B. Verwaltungsdigitalisierung, Sicherheitsforschung und Open Data unterstützen wollt, dann könnt ihr das via 💸Patreon💸 tun. Und wenn ihr bei meiner nächsten Recherche live dabei sein wollt, dann folgt mir auf LinkedIn, Twitter oder Mastodon.
Wenn Du Hinweise zum Datenabfluss bei Merkur oder anderen Casinos für mich hast, kontaktiere ihr mich sehr gerne via Threema: K4K2Z2P8.