Großes Datenleck bei MerkurBets & Co: Über eine Million Kundendaten offengelegt

Photo by FlyD on Unsplash

Ein schwerwiegendes Datenleck erschüttert derzeit die Welt des Online Glücksspiels. Die Plattformen MerkurBets, CrazyBuzzer und SlotMagie – allesamt in Deutschland lizenzierte Anbieter – sind Opfer eines massiven Sicherheitsvorfalls geworden. Laut Angaben der zuständigen Behörden wurden mehr als eine Million Kundendaten ungeschützt im Netz zugänglich.

Sensible Daten durch API-Leck öffentlich abrufbar

Die Ursache des Vorfalls war eine ungeschützte GraphQL-Schnittstelle, die von dem maltesischen Dienstleister The Mill Adventures bereitgestellt wurde. Über diese API konnten Unbefugte ohne Login auf eine Vielzahl sensibler Informationen zugreifen. Dazu zählten nicht nur Namen, Geburtsdaten, E-Mail-Adressen und Telefonnummern, sondern auch Zahlungsdaten wie IBANs, Spielverläufe, Verlaufsdaten von Ein- und Auszahlungen sowie teils sogar Legitimationsdokumente inklusive Ausweiskopien und Selfies aus Videoverifizierungen.

Besonders heikel: Auch Risikoeinstufungen zum Spielverhalten, die im Rahmen gesetzlicher Suchtpräventionen erhoben wurden, waren öffentlich einsehbar.

Entdeckt durch IT-Sicherheitsforscherin Lilith Wittmann

Aufgedeckt wurde die Sicherheitslücke von Lilith Wittmann, einer bekannten Expertin des Chaos Computer Clubs (CCC). Sie informierte umgehend die betroffenen Unternehmen und die Gemeinsame Glücksspielbehörde der Länder (GGL), woraufhin die Plattformen am 15. März 2025 temporär vom Netz genommen wurden, um die Lecks zu schließen.

Konsequenzen für Betreiber und Dienstleister

Die GGL reagierte mit einer öffentlichen Abmahnung gegen zwei maltesische Tochterfirmen der deutschen Merkur Group sowie den Dienstleister The Mill Adventures. In der Begründung wird besonders hervorgehoben, dass keine regelmäßigen Penetrationstests durchgeführt wurden – ein klarer Verstoß gegen die technischen Sicherheitsanforderungen im Rahmen der deutschen Lizenz.

Ob Bußgelder folgen, bleibt abzuwarten. Klar ist aber schon jetzt: Der Imageschaden für die betroffenen Online Spielbanken ist erheblich.

Was Nutzer jetzt tun sollten

Spieler, die auf den Plattformen MerkurBets, CrazyBuzzer oder SlotMagie registriert sind oder waren, sollten nun besonders vorsichtig agieren:

  • Passwörter bei sämtlichen Diensten ändern – insbesondere, wenn dieselben Zugangsdaten mehrfach verwendet wurden.

  • Auf verdächtige E-Mails oder SMS achten – Phishing-Attacken sind in solchen Fällen sehr wahrscheinlich.

  • Zahlungsaktivitäten und Kontobewegungen im Auge behalten.

  • Gegebenenfalls einen Kreditüberwachungsdienst in Anspruch nehmen, um Identitätsdiebstahl frühzeitig zu erkennen.

Vertrauen braucht transparente Sicherheitsstandards

Das Datenleck zeigt einmal mehr, wie entscheidend technische Sicherheitsvorkehrungen im Online Glücksspiel sind – gerade bei Anbietern, die mit echten Geldeinsätzen und sensiblen Nutzerdaten arbeiten. Auch für Pokerseiten gilt: Wer seinen Spielern Vertrauen vermitteln will, muss Datenschutz ernst nehmen.

Für Nutzer wird es künftig wichtiger denn je, lizenzierte Plattformen mit transparenten Sicherheitsmaßnahmen zu bevorzugen – und genau hinzuschauen, welche Partner hinter den Kulissen tatsächlich die technische Infrastruktur stellen.

Published
Categorized as Casino
Nicoletta Hrouzek Editor

Nicoletta ist schon seit Jahren im iGaming Bereich aktiv. Als erfahrene Redakteurin hat sie viel Erfahrung sammeln können und bringt diese in ihren Tests und Ratgebern ein. Inhaltlich wie auch fachlich ist Nicoletta mit allen Gesetzen und Regularien vertraut, sodass sie die verschiedenen Angebote auch immer im Verhältnis zu Lizenzen und Co setzen kann.

Diese Seite teilen

Aktuelle News

Alle News