Уязвимость в безопасности Merkur Group: утечка данных игроков
Масштаб утечки
Исследователь Лилит Виттманн выявила критическую уязвимость в API казино Slotmagie, Crazybuzzer и Merkurbets, принадлежащих Merkur Group. Ошибка в системе позволяла посторонним получить доступ к персональным данным более 800 тысяч игроков. В открытом доступе оказались:
- Полные имена пользователей;
- Игровые идентификаторы (используются регулятором GGL);
- Платежные данные (включая IBAN, адреса и данные карт);
- Информация о сеансах игры (включая IP-адреса и типы устройств);
- Копии удостоверений личности и адресных документов.
Особенно тревожным был факт, что доступ к этим данным можно было получить без авторизации через простые запросы к API.
Проблемы с платежными системами
Кроме утечки личных данных, в системе обнаружили уязвимость, позволявшую любому пользователю осуществлять переводы со счетов других игроков. На специальных URL-адресах можно было запускать транзакции без дополнительной авторизации. Однако процесс вывода средств усложнялся ручной проверкой заявок.
Среди затронутых платежных систем:
| Платежная система | Количество записей | Информация |
|---|---|---|
| Trustly | более 104 тыс. | включая IBAN |
| PayPal | 120 тыс. | содержащих e-mail и адреса |
| Adyen | 128 тыс. | включая данные карт и адреса |
| Skrill, Paysafecard, PayLado | десятки тысяч | с записями с именами, телефонами и другими данными |
Реакция Merkur Group и регулятора
По данным компании, уязвимость была устранена 28 февраля после уведомления от GGL. Впоследствии был проведён аудит безопасности и привлечены сторонние эксперты для улучшения защиты данных.
Однако 15 марта произошли массовые сбои в работе платформ, которые оператор объяснил неисправностью национальной системы мониторинга LUGAS. Пользователи же критикуют Merkur за недостаточную прозрачность, так как о проблеме с утечкой данных стало известно не сразу.
GGL выпустил официальное предупреждение в адрес Merkur, поскольку компания не проводила ежегодный тест безопасности, обязательный по закону.
Последствия утечки
Анализ данных показал, что:
- Около 10% игроков приносят казино 70–90% дохода, тратя более 250 евро в месяц;
- Утечка затронула как легальные, так и нелегальные платформы, работающие на базе ПО «the mill adventures»;
- Некоторые нелегальные казино, возможно, управляются из Германии.
Несмотря на законодательные меры, проблемы с безопасностью в сфере онлайн-гемблинга остаются актуальными. Эксперты подчёркивают важность защиты данных пользователей и усиления контроля за операторами казино.