Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Nach Merkur-Datengau: Weitere Online-Casinos mit "The Mill"-Software offline

Nachdem eine Datenpanne Online-Casinos der Firma Merkur erschĂĽtterte, sind nun weitere Casinos mit gleicher Software vom Netz.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen
Ein Online-Casino wird auf dem Smartphone in den Händen eines Mannes angezeigt.

(Bild: Marko Aliaksandr/Shutterstock.com)

Lesezeit: 2 Min.
Von

Nachdem bereits Mitte März etliche Online-Casinos der Merkur-Gruppe vorübergehend offline waren, sind in dieser Woche erneut etliche Glücksspiel-Seiten nicht erreichbar. Dieses Mal handelt es sich um eine Reihe von in Deutschland mutmaßlich illegalen Portalen einzelner kleiner Firmen. Ebenso wie Merkurs Online-Casinos nutzen sie Software der maltesischen Firma "The Mill Adventures". Hier hatte die Sicherheitsforscherin Lilith Wittmann zuvor auf massive Datenschutzprobleme aufmerksam gemacht.

Mit einem Post auf X meldete Wittmann am 21. März, dass wieder rund ein Dutzend Casinos mit Software von The Mill offline sind. Ihr zufolge betreibt das Unternehmen neben einer legalen Instanz seiner Software auch eine weitere für einige in Deutschland nicht legale Online-Casinos. Die Liste der neuerlich offline gegangenen Casinos liegt heise online vor. Eine Stichprobe am Nachmittag des 23. März ergab, dass diese noch immer nicht erreichbar sind. The Mill habe die laut Wittmann illegale Instanz seiner Casino-Software abgeschaltet, erklärt sie.

"Wir können daraus lernen: Recherchen zu illegalen Casinos wirken. Wir können Casinos ihre Plattformen nehmen, was im Gegensatz zu den von der GGL geforderten Netzsperren, auch wirklich funktioniert", kommentierte Wittmann den Vorgang auf X. Die GGL ist die gemeinsame Glücksspielbehörde der deutschen Bundesländer.

Wittmann hatte bereits zuvor mit ihren Erkenntnissen zur The Mill-Software Aufsehen erregt. Zahlreiche Daten von mehreren Hunderttausenden Spielern waren über APIs der Casinos abrufbar. Hier erlaubte eine GraphQL-Schnittstelle auch verschachtelte Abrufe von mehreren Objekten zugleich, allerdings ohne funktionierendes Berechtigungsmanagement. Es war ohne Weiteres möglich, an die Daten der Spieler zu kommen. Nicht nur Namen und Kontoinformationen, sondern auch Spielverläufe sowie Ein- und Auszahlungen der Spieler. Oft kamen auch Informationen dazu, mit denen diese sich gegenüber dem Glücksspielanbieter legitimierten: zum Beispiel Personalausweise und Schreiben von Arbeitsagenturen oder Banken. Im Interview mit heise online zog Wittmann eine verheerende Bilanz: "Man hat sich einen Dreck um die Sicherheit der Daten der Spieler geschert" 

(nen)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten