Die Nachricht schlug bei den Kunden von Merkur ein wie eine Bombe. Merkur informierte zunächst am Abend des 14. März 2025 seine auf den Plattformen Casinos Merkurbets, Crazybuzzer sowie Slotmagie angemeldeten Kunden über den Hackerangriff und kurz darauf erfuhr auch bereits die Presse davon. Seitdem herrscht in Spielerforen und sozialen Medien Panik, denn sicher ist, die Angreifer machten reiche Beute. Diesen Umstand musste am Ende sogar Merkur selbst zugeben.
Hacker greifen nahezu sämtliche wichtigen Kundendaten ab
Merkur informierte seine Kunden darüber, dass das Online Glücksspielunternehmen Opfer eines Hackerangriffs wurde und machte im Laufe des Abends weitere Angaben zu den erbeuteten Kundendaten. Gestohlen bzw. einsehbar waren dabei die vollständigen Namen, Adressen, getätigten Transaktionen, Kontodaten, Ausweisdaten, während des Videoident. Verfahrens gemachte Fotos sowie die intern von Merkur vorgenommene Risikoeinstufung der Spielsuchtgefahr.
Während es angesichts dieser Angaben durchaus Grund zur Besorgnis gibt, gibt es jedoch auch gute Nachrichten. Die Passwörter zu den Kundenkonten wären laut Merkur weder eingesehen noch erbeutet worden. Merkur gab in der E-Mail-Benachrichtigung seinen Kunden gegenüber ebenfalls an, dass „die Hacker zwar in höchstem Maße professionell, aber nicht kriminell handelten“. Darüber hinaus habe man die für diese Anbieter zuständige deutsche Glücksspielaufsichtsbehörde GGL über den Angriff in Kenntnis gesetzt.
Täter meldet sich kurz darauf selbst zu Wort
Die Täterin scheint den Namen „Lilith Wittmann“ zu haben und veröffentlichte nach der Datenabfrage ein Statement auf der Plattform Medium. Darin gab sie Details über den Ablauf der Datenerbeutung preis. So habe sie selbst gar nicht „hacken“ müssen, denn die Daten waren schlicht und einfach öffentlich zugänglich. Ja, sie musste sich noch nicht einmal in das Backend der Webseiten einloggen, um an sie zu gelangen. Wörtlich gibt sie dazu an: „Das System war also vollständig öffentlich zugänglich“.
Sie möchte die Daten außerdem weder verkaufen noch sonst irgendwie böswillig nutzen. Ferner gehe es ihr darum, diesen „Datenschatz für die Forschung“ eben jenen Organisationen zur Verfügung zu stellen. Dadurch könnten etwa Theorien zur Spielsuchtforschung bewiesen oder widerlegt werden. Betroffene Spieler haben also scheinbar keinen Verkauf ihrer Kundendaten oder gar Diebstahl ihrer Identität zu befürchten.
Merkur dürfte angesichts dieses Vorfalls massiv unter Druck geraten
Für Merkur könnte der Vorfall jedoch noch ein Nachspiel haben. So habe die GGL „bereits öffentliche Abmahnungen aufgrund von Datenschutzverstößen“ versandt. Laut Lilith Wittmann nutzen sämtliche auf Malta ansässigen Betreiber- sowie Tochterfirmen von Merkur die gleiche Software. Dabei handelt es sich um Software der ebenfalls in Malta ansässigen IT-Firma „The Mill Adventures“.
Die zentrale Frage an das Casinosoftware Unternehmen lautet dabei, wie kann es sein, dass derart sensible Kundendaten frei im Internet einsehbar sind? Ein solcher fast schon stümperhafter Umgang mit Kundendaten ist unentschuldbar. Die Hackerin wies darüber hinaus darauf hin, dass eine „beliebige Person in jedes beliebige Profil Ein- und Auszahlungen hätte tätigen können“. Der Vertrauensverlust der Spieler in Merkur sowie der Imageschaden dürfte angesichts dieser Umstände gravierend ausfallen.