Datainnbrudd hos MGA: Varsler lekkasjer som knytter iGaming-bransjen på Malta til organisert kriminalitet
Et datainnbrudd hos Malta Gaming Authority (MGA) kan utvikle seg til en av de mest alvorlige sakene i europeisk iGaming på flere år. Den tyske cybersikkerhetsforskeren Lilith Wittmann hevdet 20. mars 2026 å ha fått tilgang til interne systemer hos regulatoren, og varsler nå publisering av materiale som skal knytte deler av iGaming-bransjen på Malta til organisert kriminalitet. Opplysningene er foreløpig ikke uavhengig bekreftet, men ifølge Wittmann er data allerede delt med både journalister og myndigheter. MGA har selv bekreftet at de har vært utsatt for et sikkerhetsbrudd, og etterforskning pågår.
Hvem er Lilith Wittmann❓
Lilith Wittmann er en tysk IT-sikkerhetsekspert og aktivist basert i Berlin, kjent for å avdekke alvorlige sikkerhetshull i både offentlige systemer og kommersielle plattformer. Hun er tilknyttet det anerkjente hackermiljøet Chaos Computer Club og arbeider etter prinsippet om såkalt «responsible disclosure», der sårbarheter først rapporteres til ansvarlige aktører før de offentliggjøres. Hun fikk bred oppmerksomhet i 2021 da hun avdekket en kritisk svakhet i valgkamp-appen til det tyske regjeringspartiet CDU. Sårbarheten ga tilgang til persondata fra titusenvis av partimedlemmer og informasjon om hundretusener av velgere. I 2025 fant Wittmann en omfattende sårbarhet hos Merkur Group, hvor data fra opptil 800 000 spillere, inkludert ID-dokumenter og betalingsinformasjon, var tilgjengelig uten autentisering.
MGA: En av verdens viktigste regulatorer for online casino og betting
| Parameter | Verdi |
|---|---|
| Lisensmyndighet | Malta Gaming Authority (MGA) |
| Antall lisensierte selskaper | ca. 300+ |
| Antall lisenser | ca. 312 |
| Sysselsatte i sektoren | ca. 14 500 |
| Andel av arbeidsstyrken | ~5 % |
| Verdiskaping (GVA, H1 2025) | €714,4 millioner |
| Andel av BNP | ~6,5 % |
| Estimert årlig verdiskaping | ~€1,4–1,5 milliarder* |
Hva saken dreier seg om
Den 17. mars publiserte Malta Gaming Authority (MGA), tilsynsmyndigheten som lisensierer og fører kontroll med et av verdens mest konsentrerte miljøer for online gambling, en kortfattet melding på sine nettsider. Der opplyste de at de hadde «identifisert et sikkerhetsbrudd i ett av sine systemer», og at interne beredskapsrutiner umiddelbart var blitt iverksatt. Alle nødvendige tiltak var gjennomført som en forholdsregel, og en etterforskning var satt i gang. Saken ble, ifølge MGA, håndtert «med største alvor».
Utover dette var det lite konkret informasjon. Ingen personer ble navngitt. Det ble ikke opplyst hvilke data som eventuelt var berørt, hvor lenge tilgangen kan ha vart, eller hvilke konsekvenser hendelsen kan få for de over 300 selskapene som opererer under MGA-lisens. Myndigheten lovet flere oppdateringer «på et senere tidspunkt».
Tre dager senere, fredag 20. mars, ble denne stillheten i praksis brutt.
Wittmann tar ansvar for innbruddet
I et innlegg på LinkedIn, som raskt spredte seg i iGaming-bransjen, kom den tyske sikkerhetsforskeren Lilith Wittmann med sin versjon av hendelsen. I en melding direkte adressert til MGA skrev hun at hun hadde hacket myndigheten, og at dataene allerede var delt med både medier og myndigheter. Hun gikk samtidig lenger og hevdet at hun vil avdekke det hun beskriver som ordninger som muliggjør organisert kriminalitet, samtidig som myndigheten fremstiller seg som en legitim offentlig institusjon.
Det samme budskapet ble også publisert på hennes konto på X, hvor innlegget fortsatt er tilgjengelig på publiseringstidspunktet. Uttalelsene fremstår mindre som en ren innrømmelse, og mer som et tydelig varsel om det hun selv omtaler som kommende avsløringer.
Hva hevder hackeren å sitte på?
Det mest alvorlige i saken er ikke selve datainnbruddet, men hva som hevdes å ligge i materialet som er hentet ut.
Ifølge Lilith Wittmann inneholder dataene informasjon som kan knytte deler av iGaming-bransjen på Malta til organisert kriminalitet. Hun hevder videre at materialet vil dokumentere hvordan slike strukturer har kunnet operere innenfor rammene av et system som samtidig presenteres som en legitim offentlig regulering. Per nå er ingen av disse opplysningene offentliggjort eller uavhengig verifisert.
Det er heller ikke kjent:
- hvilke selskaper eller aktører som eventuelt er omtalt
- hvilken type dokumentasjon det er snakk om
- om materialet faktisk underbygger de påstandene som fremsettes
Samtidig opplyser Wittmann at data allerede er delt med både journalister og myndigheter, noe som kan tyde på at publisering eller videre etterforskning er nært forestående.
Inntil konkret dokumentasjon foreligger, må påstandene vurderes som udokumenterte. Likevel er det nettopp innholdet i disse påstandene som gjør saken prinsipielt langt mer alvorlig enn et ordinært sikkerhetsbrudd.
MGA: En regulator med tilgang til hele bransjen
For å forstå alvoret i saken, må man også forstå hva Malta Gaming Authority faktisk er.
Malta er et av verdens viktigste knutepunkter for online gambling, med selskaper som Kindred Group, Betsson og LeoVegas blant aktørene som opererer fra øya. Spillindustrien alene bidro med rundt 714 millioner euro i verdiskaping i første halvår 2025, tilsvarende om lag 6,5 prosent av landets totale økonomi.
Per i dag har MGA lisensiert over 300 selskaper, som til sammen sitter på mer enn 300 spillisenser. Bransjen sysselsetter rundt 14 500 personer, noe som utgjør omtrent 5 prosent av arbeidsstyrken på Malta.
I praksis fungerer ikke MGA bare som en regulator i tradisjonell forstand. Den fungerer som en portvokter til en global industri med betydelig økonomisk og juridisk kompleksitet.
Databasene deres inneholder omfattende informasjon om:
- lisensierte spillselskaper
- eierskapsstrukturer og reelle rettighetshavere
- finansielle rapporteringer og compliance-data
- potensielt også anti-hvitvaskingsdokumentasjon
Dersom opplysningene stemmer, er det ikke snakk om tilgang til et enkelt offentlig system. Det er snakk om tilgang til et datasett som i praksis kartlegger en av Europas mest innbringende og regulatorisk krevende næringer.
Hvem er Lilith Wittmann?
Lilith Wittmann er 30 år gammel og basert i Berlin, og har i flere år vært en kjent skikkelse i det tyske cybersikkerhetsmiljøet.
Hun beskriver seg selv som en «urostifter» innen teknologi, og har bakgrunn fra både programvareutvikling og samfunnsvitenskap. Wittmann er tilknyttet kollektivet Zerforschung, som arbeider med å avdekke sikkerhetshull i IT-systemer.
Hun har tidligere vært involvert i flere saker der hun har fått tilgang til sensitive data gjennom tekniske svakheter, og er kjent for å kombinere teknisk kompetanse med en aktivistisk tilnærming til offentliggjøring.
Dette er ikke første gang hun utfordrer etablerte systemer, men omfanget og potensialet i MGA-saken skiller seg ut.
Øker presset mot iGaming-bransjen
Lilith Wittmanns fokus på gamblingindustrien er relativt nytt, men har de siste årene blitt stadig mer målrettet.
I mars 2025 hevdet hun å ha avdekket en alvorlig sikkerhetssvakhet hos Merkur, en av Tysklands største spillutviklere. Ifølge Wittmann kunne feilen ha eksponert data fra opptil 800 000 spillere, som følge av manglende tilgangskontroll i et API-system. Hun har selv opplyst at funnene førte til at flere spillsider ble stengt etter at programvareleverandører kuttet tilgangen for uregulerte operatører. Merkur uttalte i etterkant at de ikke anså henne som kriminell, men som en etisk hacker som avdekket sårbarheter.
MGA-saken fremstår som en tydelig opptrapping.
I sine uttalelser gjør Wittmann det klart at hun ikke bare har hentet ut data, men også er villig til å publisere hele materialet dersom hun blir møtt med rettslige tiltak. Hun peker blant annet på risikoen for utlevering til Malta, hvor hun kan risikere fengselsstraff, og varsler samtidig at en slik utvikling vil utløse full publisering av iGaming-relaterte data hun sitter på.
Juridisk tolkning og en bransje i ventemodus
Lilith Wittmanns uttalelser løfter saken langt utover et vanlig datainnbrudd, og inn i et juridisk og politisk landskap med potensielt store konsekvenser.
Maltesisk lovgivning åpner for strenge straffer ved uautorisert tilgang til offentlige systemer, særlig i saker som berører statlige funksjoner. Samtidig gjør det europeiske arrestordresystemet det i prinsippet mulig for Malta å be om utlevering fra Tyskland. For datakriminalitet kreves det ikke at handlingen er straffbar i begge land, så lenge den kan gi mer enn tre års fengsel i utstedende stat.
Tysk lov gir heller ingen tydelig beskyttelse. Det er tilstrekkelig at en person skaffer seg tilgang til data uten tillatelse, uavhengig av motiv. Samtidig kan tyske myndigheter velge å håndtere saken nasjonalt, fremfor å utlevere henne til Malta. Et slikt valg vil i praksis være politisk motivert.
Innholdet i saken står fortsatt ubesvart.
Wittmann hevder å sitte på dokumentasjon som kan knytte iGaming-bransjen på Malta til organisert kriminalitet. Foreløpig er ingenting offentliggjort, og Malta Gaming Authority har ikke kommentert påstandene direkte. Myndigheten har begrenset seg til å omtale hendelsen som et sikkerhetsbrudd under etterforskning.
Likevel er stillheten i seg selv oppsiktsvekkende. MGA forvalter et regelverk som er sentralt for Maltas økonomi og internasjonale omdømme. Når en slik aktør blir anklaget for å muliggjøre kriminelle strukturer, uten å adressere innholdet i påstandene, vil det naturlig reise spørsmål.
Samtidig er det et kjent bakteppe i bransjen: Malta har over tid blitt kritisert for en regulatorisk modell som i perioder har vært mer tilretteleggende enn restriktiv. Hvorvidt Wittmanns materiale bekrefter slike mistanker, eller om dette ender som udokumenterte påstander fra en aktivist med teknisk kompetanse, gjenstår å se. En ting er sikkert, bransjen venter i spenning.
Inntil videre er tre prosesser i gang samtidig:
- Malta etterforsker sikkerhetsbruddet og vurderer mulige rettslige skritt
- Tyske myndigheter må ta stilling til hvordan de håndterer Wittmann
- Wittmann selv sitter på data hun omtaler som av stor offentlig interesse
