Und täglich grüßt das Murmeltier. Nachdem es in den letzten paar Monaten verdächtig ruhig um die skandalträchtigen Pokerräume Ultimate Bet und Absolut Poker war, gelang es jetzt den Kollegen von Pokertableratings.com ein massives Sicherheitsproblem bei den beiden Seiten aufzudecken.
Beide Seiten befinden sich im Cereus Poker Netzwerk und benutzen dessen Software. Eben dort liegt der Hund begraben. Denn während praktisch alle anderen großen Pokerräume auf die praktisch unknackbare SSL Verschlüsselung zurückgreifen wenn es darum geht, Daten zwischen dem Pokerclient beim Endnutzer und der Datenbank des Pokerraums auszutauschen, nutzt Cereus eine unsichere, selbst erstellte XOR Verschlüsselung.
Eben diese XOR Verschlüsselung hat sich nun als Schweizer Käse entpuppt. So gelang es den Technikern von Pokertableratings.com die verschlüsselten Daten lediglich mit Hilfe des Windows Taschenrechners zu entschlüsseln. Dadurch konnten sie nicht nur die kompletten Log-in-Daten mitsamt Email Adresse und Passwort lesen, sondern auch die Holecards des Spielers sehen. Ein Superuser Account 2.0 also. Alles was man dafür tun muss ist es, irgendwie die übermittelten Daten zwischen Nutzer und Pokerraum abzufangen. Dies kann zum Beispiel in einem unverschlüsselten oder schlecht gesicherten Wlan Netzwerk geschehen, oder durch einen Trojaner, der am PC des Nutzer installiert wird. Man kann sich ausmalen, welcher Art von Manipulation dieses Sicherheitsleck Tür und Tor öffnet. Hacker könnten zum Beispiel während eines großen Pokerturniers wie der WSOP in einem der Hotels das Wlan Netzwerk knacken und ganz einfach die Daten aller Spieler, die sich irgendwann in ihren Absolute Poker oder Ultimate Bet Account einloggen, abfischen. Ganz zu Schweigen von den Möglichkeiten, die dieses Sicherheitsleck einem kriminellen Angestellten der beiden Pokersites gibt und seit Russ Hamilton wissen wir ja, dass nichts unmöglich ist.
Warum in aller Welt die Verantwortlichen von Cereus auf solch eine unsichere Verschlüsselung zurückgreifen, wissen wohl nur sie selbst. Fest steht nur, dass absolut branchenunüblich ist. Praktisch alle anderen Anbieter schwören auf eine sicherere SSL Verschlüsselungstechnik. Es ist anzunehmen, dass die Pokercommunity Absolute Poker beziehungsweise Ultimate Bet dafür die Rechnung präsentieren wird, da solch ein Skandal das ohnehin schon begrenze Vertrauen in die beiden Seiten maßgeblich erschüttert haben dürfte.. Zwar haben die Verantwortlichen von Cereus Besserung gelobt und angekündigt, dieses Sicherheitslücke zu schließen, trotzdem bleibt der fade Nachgeschmack, warum es solche eine Lücke überhaupt gibt und warum es der Medien bedurfte, um diese Sicherheitslücke zu schließen.
