L’experte en cybersécurité Lilith Wittmann a découvert une faille critique dans l’interface GraphQL de Merkur, exposant les données de 800 000 joueurs. Cette vulnérabilité a permis à des casinos illégaux en Allemagne d’exploiter un logiciel non sécurisé fourni par The Mill Adventure. Après avoir alerté l’entreprise, Wittmann a constaté que celle-ci avait coupé l’accès aux plateformes non régulées, entraînant la fermeture soudaine d’au moins 12 sites de jeux. Cette action démontre l’impact direct d’une intervention sur l’infrastructure technique plutôt que sur les opérateurs eux-mêmes. The Mill Adventure a reconnu la faille et renforcé sa sécurité, tandis que Wittmann poursuit ses investigations sur le secteur des jeux en ligne.
Un pirate informatique a affirmé que plus de 12 casinos illégaux en Allemagne ont été fermés. Le fournisseur de logiciel aurait coupé l’accès à sa plate-forme. En conséquence, ces casinos en ligne ont soudainement été mis hors ligne.
Cette action intervient après des mois d’enquête menée par Lilith Wittmann. Elle a découvert un grave problème de sécurité chez le géant allemand des jeux d’argent Merkur. La cause ? Une interface GraphQL vulnérable sans contrôle d’accès approprié. Cela permettait un accès non autorisé à des données sensibles sur les joueurs.
Mme Wittmann affirme que cette fuite pourrait avoir affecté 800 000 utilisateurs. Et ce n’est pas rien.
Des casinos non agréés ont fonctionné avec le logiciel qui a fait l’objet de la fuite
Selon M. Wittmann, les sites de jeux d’argent concernés utilisaient un logiciel de The Mill Adventure, une société basée à Malte. Ce logiciel s’est avéré vulnérable. Certains casinos utilisant ce système ne figuraient pas non plus sur la liste blanche officielle de l’autorité de régulation GGL.
Le vendredi 21 mars, Mme Wittmann a écrit sur LinkedIn que The Mill Adventure avait pris des mesures à la suite de ses découvertes. Elle aurait contacté directement plusieurs fournisseurs.
“Je me suis tellement rapprochée d’eux qu’ils sont en train de brouiller les pistes”
Puis, selon elle, la société a cessé de coopérer avec les parties non réglementées. Depuis lors, plusieurs casinos illégaux ont été mis hors ligne.
Wittmann explique pourquoi les fournisseurs de logiciels devraient être davantage ciblés
Mme Wittmann estime qu’il est préférable de s’attaquer aux fournisseurs de logiciels plutôt que d’essayer de bloquer les adresses IP. Cette dernière solution est souvent peu efficace. En s’attaquant à l’infrastructure technique, on attaque le problème directement à la source.
Selon elle, l’impact est aujourd’hui bien plus important que celui de la répression traditionnelle.
“Cette enquête a mis la pression sur toutes les personnes impliquées dans les jeux d’argent illégaux, et cette pression porte ses fruits. Et cette pression porte ses fruits.”
The Mill Adventure répond aux allégations
La société elle-même a déclaré qu’elle n’avait aucun contrôle sur ce que des tiers font avec son logiciel. Elle fournit la technologie, mais n’est pas responsable du comportement des utilisateurs.
Un porte-parole a déclaré que The Mill Software Ltd n’a aucun contrôle sur le contenu ou les offres des casinos. Cette responsabilité incombe aux opérateurs eux-mêmes.
La société a néanmoins admis l’existence d’une fuite importante. Le régulateur allemand GGL a envoyé un avertissement officiel le 14 mars. Trois jours plus tard, elle a déclaré que le problème avait été résolu.
La cybersécurité devient une priorité absolue après l’incident
The Mill Adventure a déclaré dans un communiqué que cet incident était sans précédent. L’entreprise a pris des mesures immédiates, a collaboré avec des spécialistes et a promis de renforcer encore sa sécurité.
Selon l’entreprise, la protection des données des utilisateurs reste une priorité absolue.
De son côté, Merkur a déclaré qu’elle ne considérait pas Mme Wittmann comme une criminelle, mais comme une pirate informatique éthique. Elle essaie de rendre les vulnérabilités visibles, et non de les exploiter.
Mme Wittmann indique que son travail n’est pas encore terminé. Cette recherche n’est que le début d’une série. Elle se concentre entièrement sur le monde des jeux d’argent en ligne.