马耳他博彩管理局遭黑客入侵,德国研究员自曝掌握“犯罪证据”
3月17日,全球在线博彩业最集中的监管机构之一——马耳他博彩管理局(MGA)发布了一份简短声明。声明称其“某个系统内发现了入侵行为”,并已“立即启动内部响应协议”。所有遏制措施均已作为预防性手段实施,调查正在进行中,MGA正“以最严肃的态度”处理此事。然而,声明并未透露更多细节,未指明入侵者身份,也未说明何种数据被访问、持续多久,以及可能对旗下304家持牌公司造成何种后果。MGA仅承诺“适时”提供进一步更新。
三天后,一位名叫Lilith Wittmann的德国女性打破了这份谨慎的沉默。她在领英(LinkedIn)上发布了一篇迅速在iGaming行业传播的帖子(随后被领英迅速删除),以一种激烈而神秘的方式披露了此次入侵。她直接向MGA喊话:“亲爱的马耳他博彩管理局,是的,我黑了你们,并且获取的数据已经分享给了媒体伙伴、当局……”她进一步指出:“是的,我们将揭露你们在自称‘合法公共服务’的同时,所创建的助长有组织犯罪的计划。”她还在其X(原Twitter)账号上分享了相同的信息,目前该信息仍可见。她的帖子与其说是悔恨的忏悔,不如说是一份开场白。
“混乱影响者”Lilith Wittmann:直指MGA“助长有组织犯罪”
要理解此事件的重要性及其严重性,必须先了解MGA的实际角色。马耳他是欧洲乃至全球最重要的博彩中心之一,拥有Kindred Group、Betsson和LeoVegas等知名公司。仅在2025年上半年,博彩业就贡献了约7.144亿欧元(约合8.28亿美元)的国内生产总值,占马耳他经济总产出的6.5%。目前,MGA旗下共有304家公司持有312个博彩牌照,该行业雇佣了超过14,500人,约占马耳他劳动力的5%。
MGA不仅仅是一个传统意义上的监管机构,它是这个庞大且具有国际影响力的行业的“守门人”。其数据库包含数百家博彩运营商、其实际受益人、玩家以及潜在的反洗钱备案的详细财务和合规信息。Wittmann声称获取的并非一个次要的政府数据库。如果她的说法属实,那将是一张欧洲最赚钱、法律最复杂的行业地图。这个行业,无论其“家丑”状况如何,都不愿被公之于众。
争议不断:Wittmann的“黑客”履历与过往战绩
Wittmann今年30岁,常驻柏林,对这类争议并不陌生。她自称“Krawall-Influencerin”(大致可译为“混乱影响者”),16岁辍学,完成了软件开发职业资格,后来在从事商业工作的同时学习了政治学和社会学。她是“Zerforschung”集体的一员,该集体致力于调查IT系统的安全性。她在德国网络安全界也颇有名气。
2021年,她曾因发现德国最大政党之一基民盟(CDU)的竞选应用程序泄露了近2万名党员的个人数据以及超过50万普通公民的政治观点而声名鹊起(或臭名昭著,取决于视角)。她遵循了负责任的披露协议,在公开之前向联邦当局和基民盟的数据保护部门报告了漏洞。基民盟的回应是向她提起刑事诉讼。德国最大的黑客协会“混沌计算机俱乐部”宣布,在收到投诉后将完全停止与基民盟的合作。最终,调查人员得出结论,数据保护措施过于薄弱,因此在法律上不能算作“被黑客入侵”,案件被撤销。
然而,Wittmann对博彩行业的关注是最近才开始的,并且更具明确的起诉性质。2025年3月,她声称德国最大的博彩公司之一Merkur发生了一起严重的安全事件,可能影响了多达80万玩家。该漏洞源于一个未正确保护且缺乏适当授权控制的API。她声称,她的发现导致至少12个博彩网站突然关闭,因为其背后的软件提供商切断了对非受监管运营商的访问。Merkur方面表示,他们不认为Wittmann是罪犯,称她为关注漏洞披露的道德黑客。Wittmann现在表示,MGA的行动是此次调查的顶点,或者是更大事件的开始。
赌注升级:数据公开威胁成“免死金牌”?
Wittmann的领英帖子不仅仅是一份供认。它包含了一个威胁,极大地改变了法律和政治的考量。她写道,她希望“德国当局能聪明一回,不要将我引渡到马耳他,在那里我将因入侵公共服务而面临最高10年的监禁。”她随后补充道:“马耳他采取的任何警方行动,都将立即触发我全部iGaming相关数据档案的发布。”
这比她以往的任何工作都更具重大升级。她没有提供负责任的披露。她没有等待当局回应再公开。她明确地利用大规模数据发布的威胁作为对抗自身起诉的盾牌。这是否构成马耳他或德国法律下的敲诈勒索,将是律师们忙碌一段时间的问题。显而易见的是,这使MGA和德国当局都处于极其尴尬的境地。
法律困境:引渡、起诉与政治博弈
Wittmann显然研究过她的法律风险。马耳他刑法规定,普通未经授权访问罪可判处最高四年监禁,而涉及政府或公共服务职能的加重情节案件,刑罚会显著提高。这些加重条款是否适用,将取决于检察官指控的事实。更棘手的问题是,马耳他能否强制德国引渡她。Wittmann赌的是不能,或不会。但这个赌注可能比她想象的更不稳定。
欧洲逮捕令已经取代了欧盟成员国之间冗长的引渡程序。一个欧盟国家司法机关签发的逮捕令在整个欧盟境内有效。对于32类罪行(包括计算机犯罪),只要在签发国最高可判处至少三年监禁,就不需要核实该行为在两国是否都构成刑事犯罪。关键是,欧盟国家不能再拒绝引渡本国公民(除非执行国承诺根据国内法执行判决或拘留令)。
德国自身的黑客法律也无法给她带来多少安慰。自2007年以来,德国刑法规定,只要犯罪人仅仅获取了数据,意图无关紧要。法律不区分道德黑客和恶意黑客,尽管具体适用将取决于是否绕过了安全措施以及检察官如何定性该行为。理论上,德国可以选择在国内起诉Wittmann的相同行为,而不是将她引渡到马耳他,这种做法将使她处于一个更具同情心的法律文化中。然而,德国检察官是否愿意被视为追捕一个声称揭露外国监管机构有组织犯罪联系的女性,最终是一个披着法律外衣的政治问题。
无论Wittmann面临何种法律命运,她指控的实质都值得认真审查,尤其因为她声称数据已传递给媒体伙伴和当局。她尚未公开这些数据,但这可能会改变。
行业震动:MGA、德国当局与“数据炸弹”的倒计时
她的指控非常严重:MGA,作为全球最受尊敬的博彩监管机构之一,在自称合法公共服务的同时,却一直在充当有组织犯罪网络的助推器。她尚未公开提供任何证据。MGA没有直接回应这些指控,其公开沟通仅限于IT事件报告的语言。但MGA对指控实质的沉默本身可能就值得关注。一个对马耳他经济和国际声誉如此重要的机构,被如此明确地指控助长犯罪,理应说些什么,而不仅仅是“正与技术团队密切合作”。
iGaming行业长期以来一直受到担忧的困扰,即马耳他过于宽松的监管环境在多大程度上让那些行为可疑的运营商获得了合法掩护。业内许多人都知道,过去通过某些个人和媒体渠道流传的各种结构和公司架构。Wittmann的数据是否能证实这些担忧,并证实许多人早已怀疑的各种事情,或者这最终只是一个拥有卓越黑客技能和戏剧品味的政治活动家的不满,将完全取决于她实际发布了什么,以及何时发布。
目前有三件事同时在进行。马耳他当局正在调查此次入侵,并且几乎肯定在准备法律回应,其中很可能包括申请欧洲逮捕令。德国当局将知晓Wittmann的公开声明,并面临一个选择:根据国内法对她采取行动,配合马耳他的引渡请求,或者寻找理由两者都不做。而Wittmann本人则掌握着她所称的具有重大公共利益的iGaming相关数据档案,并将其作为名片和谈判筹码。
MGA在3月17日发布的简短声明是典型的监管机构危机应对:尽可能少地披露信息,并承诺关注此事。然而,当Wittmann在领英上公开承认入侵的那一刻,这一策略就变得站不住脚了。马耳他的博彩业、其政府以及数百家正是因为其监管框架的信誉而选择马耳他的公司,现在都在等待,想知道她到底掌握了什么,以及她打算如何处理这些信息。
