bencede
New member
“Oyuncuların verilerinin güvenliği için bir kirli var”
Geçen hafta, Merkur grubunun birkaç çevrimiçi kumarhanesi, yetkisiz erişim kullanıcılarını oyuncuların verilerine uyardı. Kısa bir süre sonra, yazılım geliştiricisi ve güvenlik araştırmacısı Lilith Wittmann büyük bir blog yazısı ile halka açıldı: boşluklar keşfetti ve bu nedenle neredeyse bir milyon oyuncu ile tamamlanan veri kayıtlarına erişim.
Haberler Online ile yapılan bir röportajda, sadece boşlukların ne kadar kolay olduğunu değil, aynı zamanda oyuncunun yasal olarak gerekli korumasının gerçekte nasıl çalışması gerektiğini de açıklıyor. Ülkelerin Ortak Oyun Otoritesi (GGL) ve Cross -Border -border Oyun Denetimi Sistemi (Lugas) ile ilgilidir. So -Called KYCA prosedürleri (müşterinizi bilin) de rol oynar Bu parçaların tüm bu parçaların doğrudan veya dolaylı olarak kaldırılmış olan güvenlik boşluklarından etkilenir.
Başlangıçta boşluğu nasıl keşfettiniz?
İki ay önce ilk kez yasal çevrimiçi casino'ya kaydoldum çünkü arkasındaki devlet altyapısına bakmak istedim. Örneğin, oyuncunun verilerinin kaydedildiği Central Lugas dosyası vardır. Ayrıca KYC süreçlerini denemek istedim. Ama şimdiye kadar gelmedim çünkü tarayıcı konsolundaki ana sayfada ilk güvenlik açığını gördüm.
Boşluk nasıldı ve oyunculardan elde edilen veriler nasıl geri çağrılabilir?
Tedarikçi arılarını eline almam uzun sürmedi. Ayrıca güzeldi ve kendi içinde belgelenmiş çünkü Graphql'e dayanıyor. Sonra bazı potansiyel soruları denedim ve elimde gerekenden daha fazla veri vardı. Sonra kullanıcıların kimliğine sahibim ve üçüncü taraf sağlayıcılarla arayüz oluşturmaya çalıştım. Birkaç gün sonra tüm verileri aldım. Sonunda, ne Mercury ile ne de ortakları ve yazılım tedarikçileri ile birisini güvenli bir mimari olarak görmemişti. Görünüşe göre diğer ekipler her zaman üçüncü taraf tedarikçilerle veya ödeme tedarikçileri için entegrasyon inşa etmişlerdir. Aksi takdirde şöyle fark ederdiniz: “Ah, kullanıcı kimliğini kimlik doğrulama için kullanıyoruz, ancak bunları başka bir yerde geçiriyoruz”.
Arılar tarafından atıfta bulunulan oturum kimliği
Kişisel verilerin korunması için doğru araçlar kullanıldı mı?
GraphQL, artık broştan sadece farklı bir arı teknolojisidir. Her API teknolojisiyle kesin ve hassas bir şey oluşturabilirsiniz. Bu durumda, bunu yapmamaya karar verdiniz, sadece birlikte bir şeyler kesmeye karar verdiniz. GraphQL'in Car -Kendinden -Dokümantasyon -doke olduğunu görmüyorum. Sadece bir kullanıcının belirli bir veri nesnesine erişebileceğini nasıl doğrulamayı düşünmeniz gerekir. GraphQL sorguları süresiz olarak düşük olabildiğince, her seviyede doğrulamanız gerekir. Buna ek olarak, sağlayıcı bazı yerlerde “kimlik üzerinde güvenlik” ve “oturum başına güvenlik” kullandı. Bu, bireysel durumlarda iyi olabilir, ancak Oturum Kimliğini başka yerlerde FIPA'larda yayınlarsanız değil.
Sorun nerede?
Bazıları yeterince uzun, benzersiz ve rastgele bir kimliğiniz varsa, tahmin edemeyeceğinizi ve bir UUID'yi korumamalısınız. Genellikle oldukça eleştirel görüyorum. Aynı zamanda, tedarikçi de veritabanlarını bir araya getirdi ve 1 ila 1 milyon ID arasında bir numara olan insanlar vardı. Aynı sistemde aldınız ve bu özellikle saçma: Bir yandan kimlikler birçok yerde açıklanır ve diğer yandan onları saymaya devam edebilirsiniz. Yani kullanılan araçlar sorun değildi, ama bununla yüzleşemeydiniz.
Verileri de kopyalayabileceğiniz üçüncü taraf tedarikçileri nasıl oynar?
En iyi güvenlik kavramına bile sahip değillerdi, çünkü kullanıcıları Mulino'nun kimliğine göre doğruladı. Her şeyi kontrol ettiğiniz özerk bir sistemle yaparsanız “Güvenlik By UUID” iyi olabilir. Ancak her şeyden önce, bunları diğer sistemlere entegre etmeye hizmet eden yazılımlar oluşturduğunuzda, buna güvenmemelisiniz. Üçüncü taraf tedarikçileri, verileri doğrulayamamak ve kopyalayamamak için daha fazla dikkat etmelidir.
Sorumlu yayılma bir seçenek değildi
Mesaj GGL'ye nasıl gitti ve neden operatöre doğrudan sorumlu bir yayılma yoktu?
Bu durumda, denetim otoritesi ile çalışmaya karar verdim. Bunu yapmak zorunda kaldım çünkü Lugas'ın referanslarına erişebildim. Bunlar GGL'nin oyuncular hakkında birçok veriye erişmesine izin verir. GGL, her bir sağlayıcının bir takma ad oynatıcının herhangi bir etkileşimini bildirmesi gereken güvenli bir sunucuyu yönetir. Her depozito ve geri çekilme, her oyun, her kar veya zarar GGL'ye gerçek zamanlı olarak gönderilir. Bu nedenle GGL bana Lugas kimliğim veya oynatıcı ile bir GDPR talebi aracılığıyla bir veri kaydı veriyor. Bu kimlikler herkese açıksa, başka bir oyuncudan veri alabilirim. Bu, bir kamu otoritesi olan GGL'nin bu veri koruma kazasında yer aldığı anlamına gelir.
Daha sonra ne oldu?
GGL, Merkur'u alenen uyardı. Uyarıya göre, Merkur yasal olarak talep edilen yıllık kalem testini doğru bir şekilde gerçekleştirmedi. Ayrıca resmi olarak gerçekleştirmemeliyim, kesin gereksinimler var. Bence: Almanya'da kumar oynamaya izin vermek istiyorsanız, en azından çok düşük yasal gereksinimlere uymalısınız. Yanlışlıkla açık güvenlik boşluklarından bahsetmiyoruz, ancak: Oyuncuların verilerinin güvenliği için bir kirliniz var. Buna ek olarak, Tedarikçi ile ilk kez sorumlu bir yaygınlaştırma ile karşılaşsaydım GGL'nin herhangi bir kanıt garanti edememesi riski vardı. Yasal bir bakış açısından, bir otorite testlerin korunmasına benden daha iyi hakimdir.
Ve tedarikçi ne zaman devreye girdi, oyuncuları ilk kez kim bilgilendirdi?
GGL ilişkimi aldı, anladı, yeni bir ilişki yazdı ve tedarikçiye gitti. Sağlayıcı daha sonra bu kitleyi yapmaya, boşlukları kapatmaya ve oyuncuları bilgilendirmeye karar verdi. Ancak bu aynı zamanda tedarikçinin yanından sorumlu bir disko sürecine dahil olmadığı anlamına gelir. Örneğin, raporu aldığınız yazılı olarak doğrulanmadım, burada sadece bir telefon teması vardı.
Oyuncular Meşruiyet için En Özel Belgeleri Kullanıyor
Neden bazı oyuncular istihdam ajansı tarafından yazmaya özel belge yüklüyor?
Kyci prosedürleri birinin kim olduğunu ve nerede yaşadıklarını belirlemelidir. Birinin Alman kimlik kartı varsa, cevaplaması kolaydır. Çevrimiçi casinolarla oynamak isteyen birçok insan buna sahip olmayabilir, ancak örneğin farklı bir Avrupa kimliği veya diğer belgeler. Ancak, tedarikçi adresi belirlemelidir. Almanya'da düzenlenen bir platformda yasal olarak oynamak istersem, Almanya'da yaşadığımı göstermeliyim. Belgeleri yükleyerek yapabilirim. Örneğin, bankamdan bir mektubum varsa, bu adres altında yaşama olasılığı yüksektir – en azından casinolar için muhtemelen oldukça yüksektir. Bununla birlikte, oyuncular okunmayan banka ekstrelerinden istihdam için yazılmaya kadar her türlü şeyi tıbbi teşhislere davet ederler. Sadece meşrulaştırmak ve onunla oynamak için. Görünüşe göre tedarikçi onu kontrol etmedi, ama her şeyi hayal etti. Ve bence 9 GDPR paragrafı uyarınca özellikle hassas veriler var.
Bunun için kim sorumluluk alabilir?
Bir yandan, bu açıkça Merkür ile ilgili bir sorundur, aynı zamanda Kyca sağlayıcısı. Bence, bu tür hassas verilerin yüklenmesi de müdahale etmelidir. Çevrimiçi olarak erişilebilir olmaları bile gerekmiyor. Bir ad ve bir oyuncu kimliğine kaydolabileceğiniz ve ardından bir KYC sürecine erişebileceğiniz çalışmazsınız. birkaç yaşında. En fazla, denetim durumunda bir şeyi soğutulmuş bir hücrede tutabilirsiniz, ancak burada hiçbir şekilde olmamıştı.
KYC'nin yasal kumar için fikri neydi?
Temel olarak, KYC prosedürlerini kara para aklama, oyuncuların korunmasını sağlamak ve gençlerin oynamasını sağlamak için kullanmak olumludur. Sınırlar da bu şekilde uygulanmalıdır: Ayda 1.000 Euro'dan fazla çevrimiçi oynanmamalıdır. Kumar bağımlılığının büyük bir sorun olduğunu biliyoruz.
Neden genellikle blogunuzdaki kumar oynamayı kara kutu gibi tarif ediyorsunuz?
Çevrimiçi kumarın yasallaştırılmasından, devlet tarafından GGL güvenli sunucular hakkında birçok veri toplandı, ancak araştırma için kullanılmadı. Son derece kritik buluyorum. Çok zorlayıcı bir şeyi yasallaştırırız ve bu nedenle verileri ediniriz, ancak bunları değerlendirmiyoruz. Araştırma ve oyun sektöründe, tedarikçilerin gelirlerinin yüzde 70 ila 90'ını oyuncuların küçük bir kısmı ile kazandıkları bilinmektedir. Bu oyun bağımlılığı veya en azından sorunlu bir oyun davranışı olabilir. Ancak, tedarikçiler bu insanların oynamaya devam ettikleri gerçeğiyle çok ilgileniyorlar. Gerçekte, sorunlu oyun davranışına ulaşmak devletin sorumluluğu olacaktır.
Orada gerçekten hiçbir şey olmuyor mu?
Devlet tarafından Atlas gibi finanse edilen çalışmalar var. Araştırmacılar oturup anketler yapıyorlar. Kumar Atlas 2023'te olduğu gibi, birçok insanın bir oyun sorunu varsa, endüstri gelir ve diyor ki: Veriler doğru değil! Ancak, devlet tüm verilere sahiptir ve bunu doğrulayabilir. Şimdi birçok casino verdik. Umudum, tüm kumar konusuna ilişkin verilere dayanan bir tartışma yapmak için verileri bilim adamlarına veya büyük medya evlerine teslim edebilmem.
(Asla)