Użytkownicy popularnej platformy zakładów sportowych DraftKings znaleźli się na końcu ataku typu credential-stuffing, który kosztował ofiary około 300 000 dolarów.
Wydając oświadczenie za pośrednictwem Twittera, współzałożyciel i prezes firmy, Paul Liberman powiedział, że systemy platformy nie zostały naruszone, a raczej, że incydent był wynikiem złych praktyk użytkowników w zakresie cyberbezpieczeństwa.
“DraftKings jest świadome, że niektórzy klienci doświadczają nieregularnej aktywności na swoich kontach. Obecnie uważamy, że dane logowania tych klientów zostały skompromitowane na innych stronach internetowych, a następnie wykorzystane do uzyskania dostępu do ich kont DraftKings, gdzie używali tych samych danych logowania” – czytamy w oświadczeniu. “Nie widzieliśmy żadnych dowodów na to, że systemy DraftKings zostały naruszone w celu uzyskania tych informacji”.
Liberman dalej stwierdził, że pomimo tego, że był to błąd użytkowników końcowych, firma i tak zwróci pieniądze poszkodowanym klientom:
“Zidentyfikowaliśmy, że z kont naszych użytkowników zostało pobrane około 300,000 dolarów, zamierzamy wszystkim poszkodowanym zwrócić pobrane środki,”
Podczas ataku użytkownicy znaleźli się w sytuacji, że zostali odcięci od swoich kont, a w niektórych przypadkach napastnicy ustawiali nawet dwuskładnikowe uwierzytelnianie przy użyciu numerów telefonów.
Credential stuffing jest popularną metodą w społeczności cyberprzestępców. Z czystej wygody, wielu konsumentów używa tej samej kombinacji nazwa użytkownika/hasło do wielu różnych usług. Problem z tym podejściem polega na tym, że gdy jedna z tych usług zostanie naruszona, użytkownicy ryzykują utratę o wiele więcej. Cyberprzestępcy również zdają sobie sprawę z tego faktu i często wykorzystują zautomatyzowane skrypty do testowania uzyskanych poświadczeń logowania w niezliczonych usługach, od sieci mediów społecznościowych, przez witryny handlowe, po zakłady i konta bankowe.
Użytkownikom zaleca się tworzenie silnych i unikalnych haseł do wszystkich swoich kont internetowych oraz korzystanie z menedżerów haseł w celu zachowania bezpieczeństwa tych informacji.