Cyberbeveiligingsdeskundige Lilith Wittmann heeft een kritiek lek ontdekt in de GraphQL-interface van Merkur, waardoor de gegevens van 800.000 spelers zijn blootgesteld. Door deze kwetsbaarheid konden illegale casino’s in Duitsland gebruik maken van onveilige software van The Mill Adventure. Nadat Wittmann het bedrijf had gewaarschuwd, ontdekte het dat het de toegang tot ongereguleerde platforms had afgesneden, wat leidde tot de plotselinge sluiting van ten minste 12 goksites. Deze actie toont de directe impact van een interventie op de technische infrastructuur in plaats van op de exploitanten zelf. The Mill Adventure heeft de inbreuk erkend en zijn beveiliging versterkt, terwijl Wittmann zijn onderzoek naar de online gamingsector voortzet.
Een ethische hacker heeft beweerd dat meer dan twaalf illegale casino’s in Duitsland zijn stilgelegd. De softwareleverancier zou de toegang tot zijn platform hebben afgesloten. Daardoor gingen deze online casino’s ineens offline.
De actie komt na maanden onderzoek door Lilith Wittmann. Zij ontdekte een ernstig beveiligingsprobleem bij de Duitse gokreus Merkur. De oorzaak? Een kwetsbare GraphQL-interface zonder juiste toegangscontrole. Hierdoor konden onbevoegden toegang krijgen tot gevoelige spelersdata.
Wittmann stelt dat dit lek mogelijk 800.000 gebruikers heeft geraakt. En dat is niet niks.
Casino’s zonder vergunning werkten met lekke software
Volgens Wittmann draaiden de getroffen goksites op software van The Mill Adventure, een bedrijf uit Malta. Die software bleek kwetsbaar. Sommige casino’s die met dit systeem werkten, stonden ook niet op de officiële witte lijst van toezichthouder GGL.
Vrijdag 21 maart schreef Wittmann op LinkedIn dat The Mill Adventure na haar bevindingen actie heeft ondernomen. Ze zou direct contact hebben gehad met meerdere aanbieders.
“Ik ben zó close met ze geworden, dat ze hun sporen nu verbergen.”
Daarna trok het bedrijf volgens haar de stekker uit de samenwerking met ongereguleerde partijen. Sindsdien zijn meerdere illegale casino’s offline.
Wittmann legt uit waarom softwareleveranciers zwaarder aangepakt moeten worden
Wittmann gelooft dat je beter de softwareleveranciers kunt aanpakken dan te proberen IP-adressen te blokkeren. Dat laatste werkt vaak slecht. Door de technische infrastructuur aan te pakken, val je het probleem direct aan de bron aan.
Volgens haar is de impact nu veel groter dan via traditionele handhaving.
“Dit onderzoek heeft druk gezet op iedereen die betrokken was bij illegale gokpraktijken. En die druk werkt.”
The Mill Adventure reageert op de beschuldigingen
Het bedrijf zelf gaf aan dat het geen controle heeft over wat externe partijen doen met hun software. Ze leveren technologie, maar zijn niet verantwoordelijk voor het gedrag van de gebruikers.
Een woordvoerder verklaarde dat The Mill Software Ltd geen invloed heeft op de inhoud of het aanbod van de casino’s. Die verantwoordelijkheid ligt bij de exploitanten zelf.
Toch gaf het bedrijf toe dat er wél een ernstig lek was. De Duitse toezichthouder GGL had op 14 maart een officiële waarschuwing gestuurd. Drie dagen later was het probleem volgens hen opgelost.
Cyberbeveiliging wordt topprioriteit na incident
The Mill Adventure zei in een verklaring dat dit incident ongekend was. Ze namen direct maatregelen, werkten samen met specialisten en beloofden hun beveiliging verder te versterken.
Volgens het bedrijf blijft de bescherming van gebruikersgegevens een topprioriteit.
Ondertussen heeft Merkur verklaard dat ze Wittmann niet beschouwen als een crimineel, maar als een ethische hacker. Ze probeert kwetsbaarheden zichtbaar te maken, niet te misbruiken.
Wittmann geeft aan dat haar werk nog niet klaar is. Dit onderzoek is pas het begin van een reeks. Ze richt zich volledig op de wereld van online kansspelen.