Stake.com: Nutzerdaten nach Angriff auf Dienstleister geleakt

Der Glücksspiel-Riese warnt seine Kunden vor gezielten Phishing-Angriffen. Schuld ist ein gehackter Analyse-Dienstleister.

Der Online-Glücksspielanbieter Stake.com kämpft mit den Folgen eines ernsten Datenschutzvorfalls. Ein Angriff auf den externen Analyse-Dienstleister Mixpanel hat sensible Profildaten von Nutzern offengelegt. Zwar sind die eigenen Systeme des Anbieters und die Kundengelder sicher, doch die betroffenen Nutzer müssen nun mit gezielten Betrugsversuchen rechnen. Der Vorfall wirft erneut ein Schlaglicht auf die Schwachstellen in den Lieferketten der Digitalbranche.

Ende Dezember 2025 informierte Stake.com seine Nutzer über den Vorfall. Der Angriff zielte nicht auf die eigenen Server des Unternehmens, sondern auf Mixpanel, einen weit verbreiteten Dienst für Geschäftsanalysen. Laut den offiziellen Mitteilungen vom 19. Dezember gelangten die Angreifer durch eine ausgeklügelte SMS-Phishing-Attacke (Smishing) an die Daten. Diese Methode, bei der Mitarbeiter per Textnachricht getäuscht werden, ist bei Cyberkriminellen inzwischen weit verbreitet.

Die Hacker exportierten Dateien mit Nutzerprofilinformationen aus den Systemen von Mixpanel. Stake.com betont, die eigenen internen Systeme seien nicht kompromittiert worden. Für Branchenbeobachter zeigt der Fall jedoch ein altbekanntes Problem: Auch wenn die eigene IT-Abwehr hält, können Schwachstellen bei externen Partnern zum kritischen Einfallstor werden.

SMS‑Phishing und personalisierte Betrugsversuche nutzen exakt die Daten, die jetzt bei Stake.com geleakt wurden. Wenn Angreifer Namen, E‑Mail‑Adressen und Telefonnummern haben, reichen wenige Tricks für erfolgreiche Smishing‑Attacken. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Unternehmen und Privatpersonen solche Angriffe erkennen, Mitarbeiter sensibilisieren und CEO‑Fraud verhindern. Mit psychologischen Täuschungsmustern und praktischen Checklisten, damit Sie Ihr Risiko sofort reduzieren. Anti‑Phishing‑Paket jetzt herunterladen

Was genau ist geleakt – und was bedeutet das für Nutzer?

Stake.com stellt klar: Keine Finanzdaten, Passwörter oder Kryptoguthaben wurden entwendet. Der Schaden betrifft die Privatsphäre. Geleakt wurden sogenannte personenbezogene Daten (PII), die typischerweise für die Konto-Verifikation und Marketing genutzt werden. Dazu zählen:
* Nutzernamen
* E-Mail-Adressen
* Geburtsdaten
* Telefonnummern

Genau diese Datenkombination ist für Betrüger äußerst wertvoll. Mit Namen und Telefonnummern können sie maßgeschneiderte Betrugsversuche starten. Sie geben sich etwa als Support-Mitarbeiter von Stake.com aus und versuchen, an Passwörter oder Zwei-Faktor-Authentifizierungscodes (2FA) zu gelangen.

Der Anbieter riet seinen Nutzern deshalb dringend, auf Passkeys oder hardwarebasierte 2FA-Verfahren umzusteigen. Die SMS-basierte Authentifizierung gilt durch die offengelegten Telefonnummern als potenziell unsicher. Die Standardwarnung gilt mehr denn je: Stake.com werde niemals nach Passwörtern oder Codes per E-Mail oder Chat fragen.

Hinter den Angriffen: Die Spur führt zu ShinyHunters

Stake.com hat den Angriff offiziell keiner bestimmten Gruppe zugeordnet. Branchenmedien berichteten jedoch bereits im Dezember, der Mixpanel‑Vorfall stehe im Zusammenhang mit der berüchtigten Cybercrime‑Gruppe ShinyHunters. Diese Gruppe ist dafür bekannt, Cloud‑Speicher und Datenbanken von Drittanbietern zu plündern, um Nutzerdaten im Dark Web zu verkaufen.

Die Beteiligung einer solchen Gruppe legt nahe, dass es primär um Datendiebstahl zu Erpressungszwecken ging, nicht um den direkten Raub von Kundengeldern. Der Vorfall passt in einen Trend des Jahres 2025: Angreifer umgehen die starke Verteidigung großer Unternehmen, indem sie die vermeintlich „weicheren“ Ziele in der Lieferkette angreifen.

Vertrauen als währung der Branche unter Druck

Der Datenschutzvorfall steht im Kontrast zu einem früheren, schwerwiegenderen Angriff auf Stake.com. Im September 2023 erbeutete die mit Nordkorea in Verbindung gebrachte Lazarus Group durch einen direkten Angriff auf die „Hot Wallets“ des Anbieters rund 41 Millionen US-Dollar.

Während der finanzielle Schaden des aktuellen Vorfalls vergleichsweise gering ist, könnte der Imageschaden langfristig wiegen. Vertrauen ist die wichtigste Währung im Krypto-Glücksspielsektor. Wiederholte Schlagzeilen über Sicherheitslücken – selbst bei Drittanbietern – können das Nutzervertrauen nachhaltig beschädigen. Immerhin werten Beobachter die schnelle und transparente Kommunikation von Stake.com im Dezember als Zeichen gereifter Krisenreaktions-Protokolle.

Was Nutzer jetzt erwarten müssen

Bis zum 10. Januar 2026 gibt es keine bestätigten Meldungen, dass Gelder direkt aufgrund dieses Datenlecks gestohlen wurden. IT-Sicherheitsfirmen rechnen jedoch im ersten Quartal 2026 mit einer Welle von Folgeangriffen auf die betroffenen Nutzer.

Diese werden hochpersonalisiert sein: „Spear-Phishing“-E-Mails, die den echten Namen und Nutzernamen enthalten, um glaubwürdig zu wirken. Die Branche erwartet zudem schärfere regulatorische Auflagen für das Risikomanagement von Lieferanten. Neue Richtlinien könnten iGaming-Anbieter zu strengeren Sicherheitsaudits bei ihren Datenverarbeitern verpflichten.

Für die Nutzer von Stake.com bleibt die Empfehlung einfach, aber entscheidend: Jede unaufgeforderte Kommunikation mit äußerster Skepsis betrachten und, wo immer möglich, auf hardwarebasierte Sicherheitsschlüssel setzen.

PS: Betroffen von kompromittierten Kontaktdaten? Vermeiden Sie Folgeangriffe durch gezieltes Training und technische Schutzmaßnahmen. Das kostenlose Anti‑Phishing‑Paket liefert eine 4‑Schritte‑Anleitung – inklusive Beispielen zu Smishing, Vorlagen für Mitarbeiterwarnungen und praktischen Checklisten für sichere 2FA‑Optionen. Lesen Sie, wie Sie verdächtige SMS erkennen, sichere Authentifizierung einführen und interne Meldeprozesse etablieren. Jetzt Anti‑Phishing‑Paket sichern