DraftKings-Wettseite gehackt: Über 67.000 Konten aufgedeckt

Letzten Monat, Sportwetten-Website DraftKings gab bekannt, dass die Plattform von einem Credential-Stuffing-Angriff getroffen wurde, der zu Verlusten von bis zu 300.000 US-Dollar führte. Das Unternehmen hat kürzlich bekannt gegeben, dass mehr als 67.000 Kunden von dem Cyberangriff betroffen waren. Die persönlichen Daten dieser Benutzer wurden ebenfalls durch den Hack offengelegt. Darüber hinaus erwähnte das Unternehmen auch, dass der Angreifer die Benutzeranmeldeinformationen (die Kunden benötigen, um sich bei ihren Konten anzumelden) von einer Nicht-DraftKings-Quelle erhalten hat.
Was ist ein Credential-Stuffing-Angriff?
Bei Credential-Stuffing-Angriffen verwenden Hacker automatisierte Tools, um unzählige Versuche zu unternehmen, sich bei Konten anzumelden, indem sie Zugangsdaten verwenden, die von anderen Onlinediensten gestohlen wurden. Benutzer, die dieselben Anmeldeinformationen auf mehreren Plattformen wiederverwenden, sind am anfälligsten für diese Angriffe. In solchen Fällen versuchten Hacker, persönliche und finanzielle Informationen von mehreren Konten zu stehlen, die später in Hacking-Foren oder im Dark Web verkauft wurden. Angreifer können die gestohlenen Informationen auch für Identitätsdiebstahl, nicht autorisierte Transaktionen und das Leeren von Bankkonten der Opfer verwenden.
Wie wurden die Benutzer angesprochen
Der Hacker hinterlegte zunächst 5 US-Dollar auf den entführten Konten, bevor ihre Passwörter geändert wurden. Dies half ihnen, die Zwei-Faktor-Authentifizierung (2FA) auf einer anderen Telefonnummer zu aktivieren und ermöglichte das Abheben von Geldern von den mit den Opfern verbundenen Bankkonten.

Laut einem Bericht von BleepingComputer verkaufte der Angreifer diese gestohlenen Konten mit Guthaben auf einem Online-Marktplatz für 10 bis 35 US-Dollar. Der Hacker bot den Käufern auch Anweisungen an, wie sie Geld von den gekaperten DraftKings-Konten abheben können.
Wie DraftKings auf den Angriff reagierte
DraftKings reichte eine Benachrichtigung über Datenschutzverletzungen ein, um zu bestätigen, dass Daten von 67.995 Personen während des Angriffs im letzten Monat offengelegt wurden. Das Unternehmen behauptete auch, die Passwörter der betroffenen Konten zurückgesetzt zu haben, und erwähnte das Hinzufügen von Betrugswarnungen, nachdem der Angriff entdeckt wurde. Darüber hinaus Präsident und Mitbegründer von DraftKings Paul Libermann haben auch gesagt, dass das Unternehmen die während des Hacks abgezogenen Gelder wiederhergestellt hat. Das Unternehmen hat gestohlenes Geld im Wert von bis zu 300.000 US-Dollar zurückerstattet.
DraftKings sperrte auch die verletzten Konten nach Bekanntgabe der Datenschutzverletzung und das Unternehmen warnt Kontoinhaber davor, dasselbe Passwort für mehrere Online-Dienste zu verwenden. Das Unternehmen hat den Benutzern außerdem geraten, ihre Anmeldeinformationen nicht mit Plattformen von Drittanbietern zu teilen und 2FA auf ihren Konten zu aktivieren. DraftKings hat die Benutzer sogar gebeten, Bankdaten zu entfernen und die Verknüpfung ihrer Bankkonten aufzuheben, um solche betrügerischen Auszahlungsanfragen zu vermeiden.