Datalek Merkur: Loop ik risico bij een legaal online casino?
Sinds de legalisering van de online gokmarkt in Nederland zouden onder meer de spelersgegevens gevoelig beter beschermd moeten zijn. Dat blijkt geen overbodige luxe te zijn en daar weten ze in Duitsland ondertussen alles van. Vorige maand ging er namelijk even een schokgolf door het Duitse (online) goklandschap toen bleek dat er als gevolg van een datalek zomaar even 200GB aan data kon worden gedownload van spelers bij online casino’s.
Unibet Casino
Wed €10, ontvang €50 free bets
Comeon!
200 gratis spins of €40 live coupons
Volledige klantenbestand Merkur AG opvraagbaar
Het datalek waarvan sprake was zorgde ervoor dat het volledige klantenbestand van Merkur AG opvraagbaar was. Merkur AG mag dan misschien in eerste instantie geen echt bekende naam zijn, het is het moederbedrijf van online casino’s als merkurbets.de, crazybuzzer.de en slotmagie.de. Dit zijn drie van de grootste en tevens ook bekendste online casino’s van Duitsland. In totaal kon er voor zo’n slordige 200GB aan data gedownload worden waardoor er ernstige vragen gesteld kunnen worden over de manier waarop kansspelaanbieders omgaan met hun klantendata.
Persoonlijke gegevens, maar ook betaalgegevens buitgemaakt
De net aangehaalde online casino’s zouden gebruikmaken van software van het in Malta gevestigde “The Mill Adventures”. Dit is één van de dochterondernemingen van Merkur AG. Een publiekelijk toegankelijke GraphQL-interface zou aan de basis hebben gelegen van het datalek. Als gevolg van het lek konden verschillende persoonlijke, maar ook betaalgegevens van spelers buit worden gemaakt. Het betrof hier meer concreet:
- De voor- en achternaam van de spelers;
- De spelers-ID’s;
- Specifieke gegevens over spelsessies, gokgedrag, etc.;
- Betaalgegevens van diverse aanbieders waaronder Paypal, PaySafeCard en Skrill;
- Know-Your-Customer documenten waaronder identiteitsbewijzen en verificatie selfies;
De software van Merkur AG wordt in de praktijk gebruikt door zeer veel online casino’s verspreid over diverse landen. Het ging hierbij dus niet alleen om legale online casino’s, maar ook om goksites die in bepaalde regio’s opereren zonder vergunning.
Het was IT-beveiligingsexpert en activiste Lilith Wittmann die de vinger op de wonde legde. Zij wijst echter ook op de kwetsbaarheden waarvan sprake is bij externe betaaldiensten waar (Duitse) online casino’s gebruik van maken.
Fictieve stortingen
Wittmann verwees meer in het bijzonder naar de in Duitsland vaak gebruikte betaalmethode ‘PaymentIQ’, één van de onderdelen van ‘Worldline’. Wittman gaf daarbij aan dat ze toegang kreeg tot infrastructuur die het onder meer mogelijk maakte om fictieve stortingen te doen. Zo kon ze dus eigenlijk fictief geld toevoegen aan de accounts van spelers. Bij het uitvoeren van een uitbetaling was er wel sprake van een (extra) vereiste handmatige goedkeuring. Hierbij was dus wel sprake van een extra beveiligingslaag. Dit gezegd hebbende staat het volgens de IT-beveiligingsexpert en activiste wel vast dat het systeem lek- en fraudegevoelig is.
“Niet voldaan aan vereiste penetratietesten”
De Duitse GGL heeft op haar website bevestigd dat er sprake is geweest van een datalek bij de aangehaalde online casino’s. Daarnaast liet zij ook meteen optekenen dat de Duitse goksites niet voldaan zouden hebben aan de verplichte, jaarlijkse penetratietesten waarop ze een waarschuwing hebben ontvangen. Van een boete zou vooralsnog geen sprake zijn.
Na het ontvangen van de waarschuwing van de GGL heeft Merkur AG bevestigd dat het datalek bij de online casino’s zou zijn gedicht. Sumsub, het platform dat door Merkur werd gebruikt voor de identiteitsverificatie van haar spelers liet in een reactie alvast optekenen dat er van haar kant uit geen fouten zijn gemaakt. De oorzaak van het datalek zou dan ook bij een andere partij liggen waar Merkur een samenwerkingsovereenkomst mee heeft.
Loop je ook risico bij Nederlandse online casino’s?
Naar aanleiding van het datalek in Duitsland stellen inmiddels ook spelers uit heel wat andere landen (waaronder ook hier in Nederland) zich de vraag hoe veilig hun gegevens zijn bij de (legale) casino’s waar ze bij zijn aangesloten. Diezelfde vraag heerst uiteraard ook hier in Nederland. Het probleem dat zich vooral stelt is dat online casino’s gebruikmaken van verschillende koppelingen met derden. Een voorbeeld dat we eerder in dit artikel hebben aangehaald zijn de betaaldiensten waar gebruik van wordt gemaakt. Een beveiligingslek in deze applicaties van derden kan ook zomaar leiden tot problemen bij de online casino’s zelf.
Om aan de wettelijke verplichtingen te kunnen voldoen is het online gokbedrijven in Nederland toegestaan om een kopie van je identiteitsbewijs te vragen. Het is daarbij voor jou als speler niet toegestaan om je burgerservicenummer onleesbaar te maken. Dit gezegd hebbende is het gokbedrijf in kwestie wel verplicht om bij het bewaren van je identiteitsbewijs jouw burgerservicenummer weg te lakken. Mocht er op een zeker ogenblik sprake zijn van een datalek zal jouw burgerservicenummer bijgevolg niet zomaar op straat komen te liggen, integendeel.
Penetratietesten ook in Nederland verplicht
Om de veiligheid van het online goklandschap in Nederland te kunnen garanderen is er ook in ons land sprake van verplichte penetratietesten. Deze testen zijn in het leven geroepen met als doel om eventueel beveiligingsrisico’s snel in kaart te brengen en te kunnen verhelpen. In eerste instantie hebben dergelijke testen uiteraard een pro-actieve functie omdat ze moeten voorkomen dat een derde partij zomaar toegang kan krijgen tot de persoonlijke data en financiële gegevens van spelers die actief zijn bij één of meerdere online casino’s in Nederland.
