Datenleck bei Online Casinos

Online Casinos mit der Curacao Lizenz No. 1668/JAZ sind mutmasslich von einem Datenleck betroffen.

Online Casino Lizenzen sind eines der wichtigsten Sicherheitsmerkmale einer serösen virtuellen Spielhalle und sollen vor allem den Kunden signalisieren, dass hier alles mit rechten Dingen zugeht. Nur leider zeigt die langjährige Erfahrung, dass einige Konzessionen wie aus Schleswig-Holstein, von der UKGC in Großbritannien oder aus Malta einen deutlich höheren Stellenwert besitzen als andere. Vor allem der weltweit oft anzutreffende Online Casino Lizenz aus dem Karibikstaat Curacao wird oftmals nachgesagt, nicht wirklich hundertprozentig sicher zu sein. Weiteres Futter für die Kritiker liefert nun ein Datenleck bei zahlreichen virtuellen Spielhallen die alle unter der gleichen Lizenznummer laufen, darunter mit Easybet der wohl bekannteste Vertreter.

Ein Server mit sensiblen Kundendaten so offen wie ein Scheunentor

Wie das auf Internetsicherheit und Clouddienste spezialisierte Portal ZDNet in einem Artikel veröffentlichte, stand ein Server wohl über längere Zeit offen wie ein Scheunentor. Dabei soll es sich um einen ElasticSearch-Server gehandelt haben, die normalerweise nur in internen Netzwerken betrieben werden sollten. Denn diese fungieren nicht nur als Suchmaschine, um die eigenen Apps mit Suchfunktionen zu verbessern, sondern beinhalten zum Teil ebenso höchst brisante Kundendaten. In dem jetzigen, öffentlich gemachten Fall auf ZDNet, hat ein Sicherheitsexperte einen solchen ElasticSearch-Server völlig schutzlos im Internet gefunden. Schnell wurde ihm beim Betrachten der Datensätze sowie der Domains klar, dass es sich hier um diverse Online Casinos handelt. Einige dieser virtuellen Spielhallen, die explizit genannt wurden, sind beispielsweise das Kahuna Casino, das Azur Casino und das VIP Room Casino, die im deutschsprachigen Raum eher unbekannt sind. Problematischer hingegen ist da schon Easybet, die auch in deutscher Sprache in Österreich, der Schweiz sowie in der Bundesrepublik auf Kundenfang gehen.

Welche Kundendaten waren im Internet ungeschützt für jeden ersichtlich?

Wie der Sicherheitsexperte gegenüber der Plattform ZDNet erklärte, waren äußerst brisante Kundeninformationen auf dem ungeschützten ElasticSearch-Server zugänglich, der diesen gefunden hatte. Darunter beispielsweise Benutzernamen wie auch die echten Namen samt der dazugehörigen Wohnanschrift von Kunden, die in diesen Online Casino mit Lizenz aus Curacao gespielt hatten. Zusätzlich standen hier ebenfalls die Geburtsdaten, die Telefonnummern, die E-Mail-Adressen sowie die entsprechenden IP-Adressen offen für Jedermann im Netz. Selbst wann sich ein bestimmter Kunde das letzte Mal eingeloggt hatte und welche Spielautomaten oder Live Casino Spieler dieser gezockt hatte waren ersichtlich. Was jedoch noch deutlich schlimmer wiegt, ist die Tatsache, dass ebenso Kontensalden des Spielaccounts und sogar Kreditkarteninformationen durch den offenen  ElasticSearch-Server preisgegeben wurden. Darüber hinaus fand der Sicherheitsexperte insgesamt 108 Millionen Datensätze über Wetten, Gewinne sowie Einzahlungen und Auszahlungen der Kunden.

ZDNet machte im Artikel noch einmal klar, worin die Gefahr dieses riesigen Datenlecks vor allem für die betroffenen Kunden liegt. Für kriminelle Hacker wäre es ein leichtes durch die durchgesickerten Daten Kunden dieser Online Casinos anzugreifen und mit Schadsoftware zu erpressen, vor allem wenn diese vor Kurzem erst größere Gewinne eingefahren hatten. Ebenfalls sind Betrügereien durch Kenntnis der Zahlungsinformationen nicht ausgeschlossen.

Sämtliche betroffene Online Casinos laufen unter der selben Lizenz aus Curacao

Trotz der sehr unterschiedlichen Namen der Online Casinos, ist fast davon auszugehen, dass diese und die dahinterstehenden Betreiber einer übergeordneten Firma gehören. Denn sowohl Easybet wie auch die bereits zuvor genannten virtuellen Spielhallen besitzen mit No. 1668/JAZ die selbe Online Casino Lizenz aus Curacao. Interessant dabei ist, dass bei Easybet als Betreiber die TGI Entertainment N.V. auftaucht, beim Kahuna Casino die Mountberg Limited, beim Azur Casino die Danguad Limited und beim VIP Room Casino die Media Plus N.V. Hierfür kann es im Grunde genommen nur zwei Varianten geben, sofern die Regulierungsbehörde des Karibikstaates bei der Vergabe der Konzession alles richtig gemacht hat. NDZet nimmt an, dass hinter sämtlichen Betreibern eine weitere Muttergesellschaft steckt, zu der sämtliche Anbieter dieser Online Casinos mit Lizenz aus Curacao gehören. Eine weitere Möglichkeit wäre, dass die Lizenzen unrechtmäßig verwendet werden. Dagegen spricht jedoch, dass bei einem Klick auf die Konzession in den betreffenden Internetcasinos korrekt zur Seite von Curaçao eGaming License Validation weitergeleitet wird.

Nach Bekanntwerden dieses massiven Datenlecks müsste nun eigentlich die Glücksspielaufsicht von Curacao aktiv werden, schließlich vergibt diese die Online Casino Lizenzen. Jeder Lizenznehmer ist dazu verpflichtet, alles erdenklich zum Schutz der Kundendaten zu unternehmen. Hier liegt ein klarer Verstoß vonseiten des Halters der Lizenz No. 1668/JAZ vor. Bislang hat sich die Glücksspielbehörde des Karibikstaates zu diesem Fall jedoch noch nicht geäußert.

Mittlerweile ist das Datenleck geschlossen

Gleichzeitig mit der Veröffentlichung auf ZDNet wand sich die Plattform zusammen mit dem Sicherheitsexperten sofort an OVH, den Cloud-Betreiber des entsprechenden ElasticSearch-Servers. Ebenfalls wurden sämtliche betroffenen Online Casinos über den Kundenservice kontaktiert sowie die dahinterstehenden Betreiber angeschrieben. Dies führte dazu, dass der offene Server mittlerweile nicht mehr über das Internet zu erreichen ist und somit das Datenleck geschlossen wurde. Unklar bleibt jedoch, ob dieser heruntergefahren oder durch OVH selbst abgeschottet wurde. Allerdings haben bis heute weder die Online Casinos mit Lizenz aus Curacao noch die Firmen hinter diesen virtuellen Spielhallen auf die Schreiben von NDZet reagiert. Ebenfalls ist nicht bekannt, dass deren Kunden bislang überhaupt eine E-Mail über den Vorfall der durchgesickerten, eigenen Daten erhalten haben.

TGI Entertainment N.V.

  • Easybet
  • Exclusivbet

Mountberg Limited

  • CasinoGym Casino
  • Kahuna Casino
  • Lucky Luke Casino
  • Monte Cryptos Casino
  • Mucho Vegas Casino
  • Stakes Casino
  • VegasBerry Casino
  • EatSleepBet Casino

Danguad Limited

  • Azur Casino
  • HappyHugo Casino
  • Jackpot Knights Casino
  • Casino Ventura

Media Plus N.V.

  • VIP Room Casino