IGMW – Một vụ rò rỉ dữ liệu người chơi trên các trang web cờ bạc của Merkur tại Đức đã làm dấy lên lo ngại về các rủi ro liên quan đến các cuộc tấn công mạng trong ngành này. Trong trường hợp này, cơ quan quản lý Đức và các nhà cung cấp bị ảnh hưởng cho biết sự cố đã được giải quyết, nhưng các bên liên quan tin rằng vẫn có thể tồn tại những mối đe dọa bảo mật khác đối với dữ liệu người chơi.
Dữ liệu người chơi của Merkur bị rò rỉ
Vào ngày 15 tháng 3, một kỹ sư phần mềm và hacker đạo đức ở Đức có tên Lilith Wittmann đã công bố một bài viết điều tra về vụ rò rỉ dữ liệu người chơi mà cô phát hiện trên một số trang web cá cược của Merkur Group tại Đức.
Trong bài viết trên Medium, Wittmann cho biết cô đã có thể truy cập vào dữ liệu người chơi vô cùng nhạy cảm thông qua một truy vấn GraphQL, bao gồm cả thông tin ngân hàng và dữ liệu đăng ký. Dữ liệu này thuộc về những người có tài khoản trên các trang web Slotmagie, Crazybuzzer và Merkurbets của Merkur.
Wittmann đã trình bày một báo cáo lên cơ quan quản lý cờ bạc Đức (GGL) về vụ vi phạm này, mà theo cô, đã cho phép cô tiếp cận dữ liệu của hơn 800.000 người, theo trang tin tức Heise của Đức đưa tin vào ngày 15 tháng 3.
Trong một tuyên bố gửi qua email đến iGB, một trong những nhà cung cấp bị ảnh hưởng – công ty cung cấp nền tảng trò chơi The Mill Adventure có trụ sở tại Malta – cho biết vụ vi phạm này là “một sự cố chưa từng có tiền lệ đối với hệ thống của chúng tôi và chúng tôi đã hành động ngay lập tức để khắc phục vấn đề”.
Một người phát ngôn cho biết công ty đã nhanh chóng có biện pháp và hợp tác với các chuyên gia an ninh mạng hàng đầu để củng cố hệ thống phòng thủ, “nhằm đảm bảo sự bảo vệ tốt hơn nữa cho người chơi”.
“Hướng tới tương lai, chúng tôi vẫn cam kết duy trì các tiêu chuẩn bảo mật cao nhất để đảm bảo tất cả dữ liệu người chơi luôn an toàn và riêng tư, như lẽ ra phải thế,” họ nói.
Cơ quan quản lý GGL đã phản ứng thế nào trước vụ vi phạm của Merkur?
Sau sự cố, GGL đã có động thái khiển trách công khai bằng cách đưa The Mill Adventure, cùng với Cashpoint Malta và Solis Ortus Service, vào danh sách cảnh báo công khai trên trang web của GGL.
Thông báo nêu rõ các nhà cung cấp này đã không thực hiện nghĩa vụ tiến hành kiểm tra thâm nhập (pentest) hàng năm, một quy trình giúp phát hiện các điểm yếu tiềm ẩn trong hệ thống. Điều này dẫn đến tình trạng mất an toàn dữ liệu người chơi trên tên miền www.slotmagie.de.
GGL cho biết dữ liệu bị rò rỉ bao gồm ID người chơi, biệt danh, giới tính, thời điểm đăng ký LUGAS (hệ thống tự loại trừ), thời điểm đăng nhập gần nhất, số liệu thanh toán, lịch sử giới hạn và cả hồ sơ thanh toán.
The Mill Adventure đã được cho thời hạn đến tháng 6 để khắc phục lỗi và thực hiện nghĩa vụ của mình. Trong một tuyên bố với iGB vào ngày 19 tháng 3, GGL cho biết ba nhà cung cấp đã được cơ quan quản lý liên hệ về “các lỗ hổng bảo mật CNTT” và được yêu cầu khắc phục.
Tuy nhiên, GGL khẳng định rằng các vi phạm quy định hiện đã được giải quyết. Cơ quan này từ chối trả lời thêm về việc liệu người chơi tại Merkur bị ảnh hưởng có đủ điều kiện để được bồi thường hay không, cũng như các hành động mà nhà cung cấp và nhà điều hành có thể phải đối mặt do những sai sót này.
Liệu người chơi bị rò rỉ dữ liệu có còn gặp rủi ro?
Tuy nhiên, một chuyên gia pháp lý địa phương nói với iGB rằng cơ quan quản lý có nhiều biện pháp để xử lý những sai phạm này.
Trong quá trình điều tra, GGL sẽ xem xét phạm vi rò rỉ, lý do xảy ra sự cố và liệu các nhà cung cấp có thực hiện các bài kiểm tra bảo mật bắt buộc hay không.
Từ đó, GGL có thể lựa chọn đình chỉ giấy phép của các bên liên quan, đồng nghĩa với việc đình chỉ hoạt động kinh doanh ngay lập tức.
“Hoặc, họ có thể rút ngắn thời hạn giấy phép đi một phần tư so với thời gian cấp phép thông thường là năm năm, có thể kết thúc vào năm 2027. Cuối cùng, cơ quan quản lý có thể thu hồi giấy phép hoàn toàn, cắt đứt hoạt động kinh doanh ngay lập tức,” nguồn tin bình luận.
Tuy nhiên, xét theo quy định GDPR, cơ quan quản lý cũng có thể gặp rủi ro trong trường hợp này, vì họ chịu trách nhiệm về quá trình xử lý dữ liệu.
Đáng chú ý, vụ rò rỉ có thể đã dẫn đến rủi ro bảo mật nghiêm trọng đối với những người chơi bị ảnh hưởng. Nếu hacker gửi yêu cầu đến GGL bằng cách sử dụng ID người chơi bị rò rỉ, họ có thể lấy thêm dữ liệu về những người chơi này.
“Nếu cô Wittmann hoặc ai đó đã sử dụng ID người chơi bị đánh cắp để yêu cầu dữ liệu bổ sung từ GGL (theo Điều 15 của quy định GDPR), thì các biện pháp kỹ thuật và tổ chức của GGL chắc chắn là không đủ để bảo vệ người chơi. Nếu điều này xảy ra, sẽ có dấu hiệu rõ ràng về một vụ rò rỉ dữ liệu tại GGL,” chuyên gia cảnh báo.
“Với tôi, có vẻ như vấn đề của Merkur vẫn chưa có gì được giải quyết,” họ nói thêm.
Nhà điều hành và cơ quan quản lý có đánh giá thấp rủi ro mà người chơi phải đối mặt?
Wittmann đã không trả lời yêu cầu bình luận từ iGB, nhưng trong một cuộc phỏng vấn với Heise vào ngày 19 tháng 3, cô cho rằng nhà điều hành “không quan tâm đến sự an toàn của dữ liệu người chơi”.
“Chúng ta không chỉ đang nói về một vài lỗ hổng bảo mật bị bỏ ngỏ một cách tình cờ,” cô nói.
Wittmann cũng cảnh báo về rủi ro rằng GGL có thể bị liên đới nếu hacker lấy thêm dữ liệu người chơi từ cơ quan quản lý bằng cách sử dụng thông tin bị rò rỉ.
Trong cuộc phỏng vấn của mình, Wittmann cũng cho rằng Merkur đang sử dụng các quy trình xác minh danh tính (KYC) yếu kém và lỗi thời.
Merkur đã phản hồi về sự cố thông qua trang câu hỏi thường gặp (FAQs) được đăng tải trên các trang web bị ảnh hưởng, thông báo cho người chơi về những gì đã xảy ra trong vụ rò rỉ.
Trên trang SlotMagie, nhà điều hành cho biết: “Chúng tôi rất coi trọng việc bảo vệ dữ liệu cá nhân của bạn và duy trì các tiêu chuẩn bảo mật toàn diện, phù hợp với thị trường để bảo vệ dữ liệu của bạn.”
“Bạn có thể yên tâm rằng chúng tôi sẽ bảo vệ dữ liệu của bạn một cách thích đáng. Việc hacker mũ trắng vẫn có thể truy cập vào dữ liệu chỉ chứng minh rằng không có hệ thống nào có thể an toàn 100%.”
Rủi ro đối với dữ liệu người chơi lớn đến mức nào?
Một chuyên gia an ninh mạng trong ngành trò chơi nhận xét rằng khoản đầu tư vào bảo mật của ngành này “không đạt đến mức cần thiết so với ngành fintech, đặc biệt là ngân hàng trực tuyến hoặc giao dịch tài chính”.
Tuy nhiên, ông tin rằng đầu tư vào bảo mật đang gia tăng. “Các công ty lớn hiện đang chú trọng hơn đến vấn đề này. Số tiền đầu tư vào an ninh mạng đang tăng lên.”
Cuối cùng, ông cho rằng người chơi không nên quá lo lắng về nguy cơ thông tin cá nhân của họ bị rò rỉ trên dark web.
Nguồn: IGAMING
