Tiener hackt MGM Resorts: Casino’s Las Vegas lamgelegd

Een minderjarige hacker heeft zich gemeld voor de grootschalige cyberaanval op MGM Resorts en Caesars Entertainment. De aanval veroorzaakte meer dan 100 miljoen dollar schade en legde complete casinosystemen plat. De verdachte wordt mogelijk als volwassene berecht.

Samenvatting: MGM hack schokt casinowereld

Een tiener wordt verdacht van betrokkenheid bij een van de grootste cybercrime-incidenten in de geschiedenis van Las Vegas. De aanval op MGM Resorts en Caesars Entertainment leidde tot enorme financiële schade en toonde de kwetsbaarheid van moderne casino’s voor social engineering aanvallen.

De hack die Las Vegas schokte

De zomer van 2023 werd voor MGM Resorts en Caesars Entertainment een nachtmerrie. De grootste casino’s in Las Vegas werden getroffen door een reeks cyberaanvallen. Hotelboekingen werkten niet meer, slotmachines stonden stil, personeel kon niet bij interne e-mails en gasten konden hun kamers niet altijd openen.

Volgens specialisten werd de aanval uitgevoerd via social engineering. Hackers deden zich telefonisch voor als medewerkers van de interne helpdesk. Binnen enkele minuten kregen ze toegang tot accounts en konden ze wachtwoorden resetten. Het bleek een simpele, maar uiterst doeltreffende methode.

De schade liep hoog op. MGM schatte het verlies op ongeveer 100 miljoen dollar. Caesars betaalde mogelijk 15 miljoen dollar losgeld in de hoop dat gestolen data niet openbaar zou worden. Toch was er geen garantie dat de informatie niet alsnog gedeeld werd op het dark web.

In Nederland kennen we BetMGM casino, een legaal online casino dat samen met het internationaal gokbedrijf Entain beheerd wordt door MGM Resorts. Die laatste is ook het moederbedrijf van het MGM-casino in Las Vegas.

Arrestatie en aanklachten

In september 2025 meldde een nog minderjarige verdachte zichzelf bij de autoriteiten in Las Vegas. Hij wordt gezien als een van de betrokkenen bij de hack die wereldwijd aandacht trok.

De tiener wordt geconfronteerd met zes aanklachten:

• Drie aanklachten wegens het misbruiken van persoonsgegevens van derden
• Eén aanklacht wegens afpersing
• Eén aanklacht wegens samenzwering tot afpersing
• Eén aanklacht wegens computermisdrijven

De officier van justitie heeft aangegeven dat het doel is om hem als volwassene te berechten. Dat zou betekenen dat hij bij een veroordeling een aanzienlijk hogere straf kan krijgen dan wanneer hij als minderjarige wordt behandeld.

Strikte voorwaarden bij vrijlating

De jeugdrechter besloot de verdachte voorlopig vrij te laten in de voogdij van zijn ouders, maar met zware beperkingen. Hij mag het gebied van Clark County niet verlaten. Zijn toegang tot internet en mobiele apparaten is streng ingeperkt. Alleen onder toezicht mag hij gebruikmaken van digitale middelen.

Worden de regels overtreden, dan volgt onmiddellijke terugplaatsing in detentie. In november beslist de rechtbank of de zaak inderdaad wordt doorgezet naar het volwassenenstrafrecht.

Tijdens de zitting kwam bovendien naar voren dat de tiener mogelijk nog over 1,8 miljoen dollar aan Bitcoin beschikte, vermoedelijk afkomstig van de hack. Waar dat digitale geld precies is, blijft onduidelijk.

Wie is Scattered Spider?

Scattered Spider is een hackerscollectief van vooral jonge leden. Ze vallen op door hun gebruik van social engineering: medewerkers misleiden om toegang te krijgen tot gevoelige systemen. Sinds 2022 hebben ze tientallen aanvallen uitgevoerd, vaak op grote bedrijven in de VS en het VK.

Enkele bekende wapenfeiten

Het hackerscollectief staat bekend om:

• De hack op MGM Resorts in 2023: goed voor circa 100 miljoen dollar schade
• De aanval op Caesars Entertainment: waarbij mogelijk 15 miljoen dollar losgeld werd betaald
• Een reeks aanvallen in 2024 op Snowflake klanten: waaronder telecom- en ticketbedrijven
• Ransomware aanvallen in 2025: vooral op Britse retailketens en andere sectoren

Hun handelsmerk is een mix van social engineering, MFA-omzeiling en afpersing. Daarmee behoren ze tot de meest gevreesde groepen van dit moment.

Impact op casino’s

De impact van de aanval op MGM en Caesars was enorm. Niet alleen de directe financiële schade, maar ook de reputatie liep een deuk op. De aanval legde niet alleen betalingssystemen plat maar ook duizenden slots en speelautomaten. Gasten klaagden over slechte service, chaos in de hotels en het gevoel dat hun persoonlijke gegevens niet veilig waren.

De hack toonde pijnlijk aan dat zelfs de grootste en rijkste casino’s kwetsbaar zijn. Systemen die normaal onzichtbaar draaien, bleken een zwakke plek. De aanval maakte duidelijk dat cyberbeveiliging niet alleen draait om firewalls en encryptie, maar ook om training van medewerkers.

De gevolgen waren verstrekkend:

• Financiële schade van honderden miljoenen dollar
• Mogelijk blijvende reputatieschade voor de casino’s
• Verlies van vertrouwen bij gasten en aandeelhouders
• Toegenomen aandacht van toezichthouders en overheid

Cybersecurity uitdagingen

Deze zaak staat niet op zichzelf. De afgelopen jaren vonden meerdere grote cyberaanvallen plaats die lijken op wat MGM en Caesars trof.

• In 2021 werd de Colonial Pipeline in de VS getroffen, waardoor de brandstofvoorziening dagenlang werd verstoord.
• In 2022 werd een wereldwijd transportbedrijf lamgelegd door ransomware, met miljarden euro’s schade als gevolg.
• In 2024 werden verschillende Europese ziekenhuizen aangevallen, waardoor patiëntendossiers onbereikbaar waren.

Steeds vaker blijkt dat jongeren, soms nog scholieren, worden ingezet of zelf meedoen. Geld, status en de sensatie spelen een grote rol.

Ethische en juridische vragen

De zaak van de tiener in Las Vegas roept lastige vragen op.

Moet een minderjarige worden behandeld als volwassene als het gaat om misdrijven met zulke grote gevolgen? Is straffen de juiste weg, of moet de focus liggen op heropvoeding en preventie? En hoe kunnen bedrijven voorkomen dat medewerkers slachtoffer worden van slimme manipulatie?

Experts pleiten voor betere training van personeel. Niet alleen technische systemen, maar vooral mensen moeten weerbaargemaakt worden. Een simpel telefoontje mag nooit voldoende zijn om toegang te krijgen tot gevoelige data.

Stem van betrokkenen

Een medewerker van MGM, die anoniem wil blijven, vertelde later:

“Het was alsof alles plots stopte. Mensen konden hun kamers niet in, gasten stonden in de lobby te wachten en wij kregen geen instructies. Het voelde chaotisch en machteloos. Pas later hoorden we dat het hackers waren die via ons systeem binnendrongen.”

Persoonlijke verhalen als deze benadrukken dat cyberaanvallen niet alleen financiële gevolgen hebben, maar ook direct invloed hebben op werknemers en gasten.

Lessen voor de toekomst

De hack in Las Vegas geldt als een wake-upcall. Grote bedrijven moeten meer investeren in digitale weerbaarheid. Niet alleen in dure beveiligingssoftware, maar ook in bewustwording van personeel. Het incident heeft aangetoond dat snelle uitbetalingen en veilige stortingen belangrijk zijn voor moderne casino’s.

Bedrijven kunnen stappen nemen zoals:

• Regelmatige training van medewerkers in social engineering en phishing
• Strikte verificatieprocedures bij reset van wachtwoorden
• Meervoudige authenticatie voor alle interne systemen
• Continu monitoren van verdachte activiteiten

Conclusie en toekomstblik

De arrestatie van de tiener in Las Vegas laat zien dat cybercriminaliteit niet alleen het domein is van professionele netwerken of buitenlandse mogendheden. Ook jonge mensen, met de juiste kennis en motivatie, kunnen bedrijven met miljardenomzetten lamleggen.

De komende maanden zal blijken of de verdachte als volwassene berecht wordt. Wat de uitkomst ook wordt, de casinowereld is gewaarschuwd. Dit incident heeft aangetoond dat de grootste zwakte in cybersecurity vaak de mens zelf blijft. Voor bedrijven wereldwijd is dit een les: investeer niet alleen in technologie, maar ook in mensen. Want een simpel telefoontje kan miljarden kosten.