“Man Hat Sich Einen Deck UM Die Sicherheit der Daten der Spieler Geschert”

In Der Vergangenen Woche Warten Mehrere online-Casinos Der Merkur-Grouppe Ihre Nutzer Vor Unbefugtem Zugriff AUF Die Daten der Spieler. KURZ DANACH GING DI Umfangreichen Blogbrag An die Öffentlichkeit: Sie hat die lücken entdeckt und dadurb zuggang zu den kompletten datensätzen von knapp einer Million spieler.

IM Interview Mit Heise Online Erklärt Sie Nicht Nur, Wie Einfach Die Lücken Zu Finden Waren, Sondern Auch, Wie der Genetzlich Geforderte Spielerschutz Eigentlich Funkctionieren Sollte. It’s Geht Um Die Gemeinsame Glücksspielbehörde der Länder (GGLitLugas). AUCH DIE SOGENANNNEN KYC-VERFAHREN (know his client) UNTERNIAHMEN SPIELEN DABEI EINE ROLLE-All the Sind von den inzwischen Behobenen Sicherheitslücken Direkt Oder Indirekt Barroff.

WIE HAYEN IF DIE LÜCKE Ursprünglich Entdeckt?

ICHe Mich Mich Vor Zwei Monaten Erstmals Bei in Deutschland Legalen Online-Casinos Angemeldet, Weil Ich Die Die Die Staatluchhe Infrastruktur Dahinter Ansehen Wollte. It is Gibt da Zum Beispiel Die Zentrale Lugas-Datei, in Der Spielerdaten Gespeichert Werden. AUCH DIE KYC-PROZESSE WOLLTE ICH Ausprobieren. Aber Soweit Bin Ich Gar Nicht Gekommen, Weil Ichon Schon Auf der Startseite at Browser-Konsole Die Erste Sicherheitslücke Gesehen Habe.

Worin Best and Die Lücke, Und Wie Konten Dadurch Daten von Spieern Abgerufen Werden?

It is Hat Nicht Lange Gedauert, Bis Ich Die Api der Anbieter in Der Hatte Hatte. Die War Auch Schön Selbstdokumentiendend, Weil Sie AUF Graphql AUFBAUT. Dann Habe Ich Ein Paar Potenzielle consult Ausprobiert, und Inmer Mehr Daten in Der Hand Gehabt, Als Ich Hätte Haben Sollen. Dann Hatte Ich Die Id von Usern Und Has Die Bei Schnittstellen Zu Dritanbietern Aus Probbiert. Nach Mehreren Tagen Hatte Ich Dann Alle Daten. IM ENDEFFEKT HATTE SICH WEDER BEI MERKUR NOCH BEI DEN-PARTY-PROVEEDOR OF SOFTWARE JEMAND ÜBERLEGT, WIE EINE SICHERE ARCHITEKUR AUSSEHEN Könnte. It is Scheint, Als Hätten da immer Andere Equips Die Integration Mit Dritanbietern Oder Für Zahlungsanbieter Gebebaut. Sonst Hätte Man Gemerkt: “Oh, Wir Benutzen da Die User-Ith Zur Authentifizierung, Aber Die Geben Wir Ja An Anderer Stelle Ja Auch Auch.”

Session ids by API Bombar

Wurden da Für den Schutz Persönlicher Daten Die Richtigen Werkzeuge Eingesetzt?

Graphql Ist Ja Nur Eine Ye api-technologie Als Etwa Eine Restoful-Api. Kann Mit Jeder Api-Technologie Etwas Sicheres Und Sinnvolles Bauen. In Dem Fall Hat Man Sich entschied, das Nicht Zu Tun, Sondern Einfach Etwas Zusammenzuhachen. DASS GRAPHQL SELBSTDOKUDIENTEND IST, SEHE ICH NICHT ALS PROBLEM. Man Muss Sich Nur überlegen, Wie Man Verifiziert, Dass Ein User Zugang Zu Einem Bestimmten Datenobjakt Hat. Gives man graphql-Abfragen quasi unbegrenzt tief verschachteln kann, muss man das auf jeder ebene prüfen. Zudem Hat der Anbieter An einigen Stellen “Security Bei Id” und “Safety by session” Verwendet. Das Kann in Einzelfällen Ok Sein, Aber Nicht, Wenn Man Die Sision-Underer Stelle über Die Api Herausgibt.

Wo Liegt Dabei Das Problem?

Manche Sagen, Wenn Man Eine Genügend Lange, Einmalige und Zufällige Id Hat, Dann Kann Man Die Ja Nicht Erraten, und Man Müste So Eine Uuid Nicht Zusätzlich Absichern. Ich sehe das generell recht Kritisch. Gleichzeitig Hat der Anbieter Auch Datenbanken Zusammengeführt, und Darin Gab is Dann Personen, Die Eine Ziffer Zwischen 1 und 1 million als Id Hatten. Die Hat Man Ins Selbe System Geholt, und das ist dann kiss: Zum Einen Sind Die Ids An Vielen Stellen Offegegt, Und Zum Andren Kann Man Sie Zum Teil Einfach Weiterzählen. DIE EINGESETZTEN WERKZEUGE WAREN also Nicht das Problem, SONDERN DASS MAN DAMIT NICHT UMGEN KONNTE.

Welche Rolle Spien da Die Dritanbieter, von denie ja auch daten kopieren konten?

AUCH DIE HATTEN NICHT DAS BESTE SICHERHEITSKONZEPT, DENN SIEN HE HAVE USER AUF BASE ID VON EL MILL AUTONTIFIZIERT. “Security-by uuid” Kann Schon Okay Sein, Wenn Man is Bei Einem in Sich Geschlossenen System Macht, Bei DeM Man Alles Kontrollert. ABER GERADE WENN MAN SOFTWARE BC, DIA DAZU DIENT, SIE INDERE SYSTEME ZU INTEGRIERE, SOLLTE MAN SICH NICHT DARAUF VAREOSSEN. DA Hätten Auch Die Dritanbieter Mehr Drauf Achten Müssen, Damit Man Sicht Nicht Auch Bei Ihnen Verifizieren und Dort Daten Kopieren Kann.

Keine of Keine of responsible dissemination

Wie Lief Die Meldung An Die GGL AB, Und Warum Gab is Kein Responsible Discelling A Den Becker Direkt?

ICH Hab Mich in Diem Fall Konkret Dafür Entschieden, mit der AUfsichtsbehörde Zusammenzuarbebeiten. Das Musste Ich Auch, Weil Ich Zugriff AUF Die Lugas-Referenzen Hatte. Erlauben is, Bei der Ggl Genz Viele Daten Zu den Spieern Abzurufen. Die GGG Betreibt Einen Safe-Server, a Jeder Anbieter Jede Interaktion Eines Spielers Pseudonymisiert Melden Muss. Jede ein- und Auszahlung, Jedes Spiel, Jeder Gewinn Oder Vulust Wird in Echtzeit An Die Ggl Gesendet. Über Eine Dsgvo-Frange Mit Meiner Lugas-Oder Player-ID Gibt Die Ggl Mir Dann Einen Datensatz. Wenn Di Ids Öffentlich Sind, Kann Ich Mir Dien Von Jedem Andren Spieler Holen. Das Bedeutet: Die GGL, Eine Öffentliche Behörde, Ist in Dieen Datenschutzvorfall Involinder.

Was Ist Danach Passiert?

Die GGL Hat Merkur Öffentlich Abgemahnt. LAUT DER ABMAHNUNG HAT MERKUR DEN GEREETZLECH VORGESCHRIEBENENE Jährlichen Pen-Test Nicht Ordentlich Durchgeführt. Selbst ich dürfte den formal nicht dirtchführen, da Gibt is Genaue Vorgaben. Ich Finde: Wenn Man überhaupt Glückspspiel in Deutschland Zulassen Möchte, Sollte Man Sich Zumindest An Die Sehr Niedrigen Rechtlichen Vorgaben Halten. WIR redeacted nicht von ein paar VerseHentlich offen gelassenen sicerheitslücken, Sondern: Hat sich einen dreck um um die sicherheit der daten der spieler gestchert. Zudem Bestand Die Gefahr, Dass Das Die Ggl Eventuell Keine Beweise Hätte Sicher Können, Wenn Ich Zuerst Mit Einem Responsible Dissemination AUF Den Anbieter Zugegangen Wäre. AUCH Rechtlich Gesehen Beherrscht Eine Behörde Die Beweissicherung Besser Als Ich.

Und Wann Kam Dann der Anbieter Inspiel, Welcher Die Spier Ja Zuerst Informiert Hat?

Die GGL Hat Meinen Report Genommen, Ihn Nachvollzogen, einen neuen report Geschrieben, under ging an den anbieter. Der Anbieter Hat Sich Dann Entschlossen, das Öffentlich Zu Machen, Die Lücken Zu Schließen, und Die Spieler Zu inform. Das Heißt Aber Auch, dass der Anbieter Sich von Seite Seite Aus Nicht AF einen speech responsible for the presentation Eingelassen Hat. Hat Mir Zum Beispiel Nicht Schriftlich Bestätigt, Dass Man Den Erhalten Hat Report, is Gab Nur Einen Telefonischen Kontakt, das War’s Dann.

Spieler Nutzen Privatete dokumento legitimation

Warum Haben Manche Spieler Private Unterlagen Bis Hin Zu Schreiben der Arbeitsagentur HochGelladen?

MIT KYC-Verfahren Soll Festestellt Werden, Wer Jemand Ist Und Wo Er Lebt. Wenn Jemand Einen Deutschen Personalausweis Hat, Ist Das Einfach Zu BeantWorten. Viele Menschen, Die Bei Online-Casinos Spielen Wollen, have das Aber Vielleicht Nicht, Sondern Beispielseise Einen Andrenan Europäischen Ausweis Oder Andere Dokumente. Der Anbieter Muss Aber Die Adresse Feststellen. Wenn Ich Legal AUF EINER in Deutschland regulates Plattform Spielen Will, Muss Ich Beweisen, Dass Ich Gerade in Deutschland Lebe. Das Kann Ich Machen, unscathed dokumente Hochlade. Wenn Ich Zum Beispiel Einen Brief von Meiner Bank Habe, Dann Ist Die Wahrscheinlichkeit Hoch, Dass Ich disco Adresse Lebe – Zumindest Für Die Casinos ist das Wohl Hoch Genug. DIE SPIERER LADEN DA ABER ALLES Mögliche Hoch, von Sugschwärzten Kontouszügen über Schreiben von der Arbeitsagentur bis hin zu medizinischen diagnosed. Nur um sich zu legitimieren und Damit Spielen Zu Können. Der Anbieter Hat da Offenbar Nicht Nachgesehen, Sondern Alles Gespeichert. Und nach meiner meinung syndech auch kiss Sensitive daten im without paragraph 9 dsgvo darunter.

Wer Könnte Dafür Die Verantwortung Tragen?

Das ist Natürlich zum einen ein problem Bei Merkur, Aber auch dessen kyc-anbieter. Der Müste Aus Meiner Sicht Auch Eingreifen, Wenn gives such a sensitive daten HochGelladen Werden. Die Dürfen Auch Nicht Online Zugänglich Sein. It is Geht Einfach Gar Nicht, Dass Man Sich mit einem namen und Einer Spieler-Id Anmelden Kann, und Dann Zugriff AUF Einen Kyc-Prozess Hat. Der Mehrere Jahre Alt Ist. Allenfalls Könnte Man So Etwas Für den Fall Einer Betriebsprüfung in Einem Cold Storage AUFBEWAHREN, ABER KINESFALLS SO, WIE DAS HOLSE GESCHEN IST.

Was the war Denn Eigentlich Die Idee von Kyc Für Legale Glücksspiele?

Grundsätzlich ist is Gut, Dass Man Kyc-Verfahren Nutzt, Um Damit Geldwäsche Einzudämmen, Spielerschutz Zu Gewährleison, und dafür zu Sorgen, dass nicht sehr Junge Menschen Spielen. AUCH DIE LIMITS SOLLEN, so DURCHGESETZT WERDEN – MEHR ALS 1,000 euros im monat SOLLTE IN DER REGEL NICHT ONLINE Verspielen Dürfen. Wir Wissen, Dass Spielsucht Ein Großes Ist Problem.

Warum Bezeichnen Sie Glückspspiel on the blog Ihrem Generell Als Blackbox?

Seit der legalisierung von online-glücksspielen werden zwar von statlicher seite eine Menge Daten über Die Ggl-Safe-Server Gesammelt, Aber Nicht Für Forschung Genutzt. Das Finde Ich Höchst Kritisch. Wir Legisieren Etwas, Das Stark Süchtig Machend Ist, und Erfassen Dann Die Daten, Werten Sie Aber Nicht Aus. Est in der Forschung und in Der GlücksSpielBranchde Bekannt, dass die Anbieter 70 bis 90 prozent ihrer einnahmen mit einem kleinen anteil der spieler purseen. Das Kann Spielsucht Oder Zumindest ein Problematisms Spielverhalten Sein. Die Anbieter Haben Aber ein Großes Interest Daran, Dass gave Leute Weiterspielen. Eigentlich Wäre is aufgabe des staates, problems spielverhalten zu mitigieren.

Passiert da Wirklich Nichts?

It is Gibt Staatlich Geförderte Studien Wie den Glückspielatlas. Gives Setzen Sich Forscher Hin, und Machen Umfragen. Wenn da, Wie Beim Glücksspielatlas 2023, Herauskommt, Dass Viele Menschen Ein Spielproblem Haben, Kommt Die Industrie und Sagt: Die Daten Stimmen Gar Nicht! Der Stat Hat Aber Alle Daten und Könnte das Verifizieren. Jetzt Haben Wir Abern Daten Aus Vielen Casinos. Meine Hoffnung Ist, Dass Ich Die Daten Wissenschaftlern Oder Großen Medienhäusern übergeben Kann, Damit Wir Eine Datenbasite Debate über das Gesamte Thina Glückspspiel Führen Können.

(NIE)