Suositun The Mill Adventure yrityksen pelialusta on joutunut mittavan tietomurron kohteeksi.
Kyseessä on haavoittuvuus, joka on paljastanut jopa 800 000 pelaajan henkilötietoja useilla kasinosivustoilla.
Pääasiassa ilmitullut tietomurto ja sen vaikutukset ovat liittyneet Merkur yhtiöön, ja sen Slotmagie-, Crazybuzzer- ja Merkurbets-sivustoihin.
The Mill Adventuren alustalla toimii myös suomalaisten keskuudessa suosittu Casinobud sivusto, millä useat suositut kasinostreamaajat pelaavat. Casinobudin pelaajien tietoja ei kuitenkaan ole yhtiöiden mukaan vuodettu.
Haavoittuva rajapinta paljasti arkaluonteisia tietoja
Tietoturva-asiantuntija Lilith Wittmann paljasti 14. maaliskuuta Medium-blogissaan, että erään suuren pelioperaattorin järjestelmässä oli vakava haavoittuvuus.
Saksalaisen Merkur-rahapeliyhtiön alustalla, joilla useammat nettikasinot toimivat, oli jätetty eräs sovellusrajapinta (API) suojaamatta, mikä antoi ulkopuolisille mahdollisuuden käsiksi asiakkaiden tietoihin.
Vuodon kautta näkyville pääsi laaja kirjo arkaluonteista dataa: täysiä nimiä, käyttäjätilien tietoja, pelihistoriaa sekä maksutapahtumien tietoja.
Erityisen huolestuttavaa on, että mukaan lukeutui myös asiakkaiden tunnistusasiakirjoja, kuten henkilökorttien ja palkkatodistusten kopioita, joita oli järjestelmässä kymmeniä tuhansia. Wittmann oli ilmoittanut havaitsemastaan tietoturva-aukokosta Saksan rahapeliviranomaiselle jo 28. helmikuuta.
Alustavan arvion mukaan haavoittuvuus saattoi koskea jopa 800 000 yksittäistä pelaajaa eri kasinosivustoilla. Merkurin operoimat saksalaiset sivustot, kuten Slotmagie, Crazybuzzer ja Merkurbets, olivat suoraan tietomurron piirissä.
Koska Casinobud on Maltalle rekisteröidyn The Mill Adventure Limited -yhtiön operoima kasino, sama alusta, jota Merkurin sivustot käyttävät, heräsi epäilys että myös Casinobudin pelaajatiedot olivat alttiina haavoittuvuuden aikana. Yhtiö kuitenkin kiisti tämän.
Vaikutukset pelaajille ja yhtiön toimet
Tietomurron paljastuminen on vakava paikka niin pelaajille kuin kasino-operaattoreille. Vuotaneet henkilötiedot voivat altistaa asiakkaat identiteettivarkauksille, tietojenkalastelulle ja muille petosyrityksille. Tapaukseen liittyvät kasinot ovat kehottaneet asiakkaitaan valppauteen: esimerkiksi epäilyttäviin yhteydenottoihin, tilitapahtumiin ja kirjautumisyrityksiin on suhtauduttava varoen.
Merkur tiedotti asiakkaidensa tietojen mahdollisesta vaarantumisesta jo 13. maaliskuuta ja kutsui tapausta “tietosuojatapaukseksi”.
Yhtiö korosti viestinnässään, että sen käyttämän palveluntarjoajan järjestelmä oli onnistuttu murtautumaan, vaikka omien sanojensa mukaan sillä oli käytössä ”laajat tietoturvatoimet”. Asiakkaille annettiin myös neuvoja suojautua petoksilta, ja Merkur rauhoitteli, että tietomurron havainnut hakkeri olisi heidän käsityksensä mukaan “eettinen hakkeri” vailla aikeita käyttää tietoja rikoksiin.
Esimerkiksi Merkurin sivustoja otettiin alas 15. maaliskuuta teknisten ongelmien vuoksi. Yhtiö väitti, että kyseinen käyttökatko johtui erillisestä häiriöstä Saksan kansallisessa LUGAS-valvontajärjestelmässä, ei suoranaisesti tietomurrosta. Tapaus on kuitenkin herättänyt kritiikkiä pelaajayhteisössä: turhautuneet käyttäjät ovat keskustelupalstoilla syyttäneet yhtiötä asian vakavuuden vähättelystä.
”Tietoturvaloukkaus vaikutti ainoastaan Slotmagie-, Crazybuzzer- ja Merkurbets-sivustojen käyttäjiin. Casinobudin pelaajat eivät ole vaarassa.”
Viranomaiset tutkivat tapausta
Saksan rahapeliviranomainen GGL on käynnistänyt asiasta tutkinnan. Viranomainen on vahvistanut saaneensa tutkimusten kannalta keskeiset tiedot haltuunsa heti tutkijan ilmoituksen jälkeen.
GGL on myös julkisesti moittinut kyseisiä kasino-operaattoreita laiminlyönneistä tietoturvassa, yhtiöt eivät sen mukaan olleet suorittaneet vuosittain vaadittuja tunkeutumistestauksia järjestelmiinsä, mikä osaltaan saattoi mahdollistaa nyt havaitun haavoittuvuuden.
Myös Malta Gaming Authorityn ja muiden maiden viranomaisten odotetaan seuraavan tilannetta, sillä tapauksen vaikutukset ulottuvat Saksaa laajemmalle useisiin Euroopan maihin, mukaan lukien Suomeen Casinobudin kautta.
Casinobudin alustan taustalla oleva yhtiö ja yhteistyökumppanit jatkavat tilanteen tarkkaa monitorointia. Mahdollisista lisätoimenpiteistä, kuten tietosuojaviranomaisten määräämistä jatkotoimista tai sakkorangaistuksista, tiedotettaneen erikseen, mikäli tietomurron selvittely niin vaatii. Asiakkaille tärkeintä on tällä hetkellä seurata omia tietojaan ja noudattaa annettuja turvallisuusohjeita. Yhtiön edustajat painottavat, että kaikki havaitut tietoturva-aukot on nyt paikattu ja palvelu pyritään pitämään luotettavana jatkossa, jotta vastaavat tietomurrot eivät toistu.