Hakerzy wykorzystali popularną metodę credential-stuffing i pozbawili użytkowników 300,000 USD

Użytkownicy popularnej platformy zakładów sportowych DraftKings znaleźli się na końcu ataku typu credential-stuffing, który kosztował ofiary około 300 000 dolarów. 

Wydając oświadczenie za pośrednictwem Twittera, współzałożyciel i prezes firmy, Paul Liberman powiedział, że systemy platformy nie zostały naruszone, a raczej, że incydent był wynikiem złych praktyk użytkowników w zakresie cyberbezpieczeństwa.

„DraftKings jest świadome, że niektórzy klienci doświadczają nieregularnej aktywności na swoich kontach. Obecnie uważamy, że dane logowania tych klientów zostały skompromitowane na innych stronach internetowych, a następnie wykorzystane do uzyskania dostępu do ich kont DraftKings, gdzie używali tych samych danych logowania” – czytamy w oświadczeniu. „Nie widzieliśmy żadnych dowodów na to, że systemy DraftKings zostały naruszone w celu uzyskania tych informacji”.

Liberman dalej stwierdził, że pomimo tego, że był to błąd użytkowników końcowych, firma i tak zwróci pieniądze poszkodowanym klientom:

„Zidentyfikowaliśmy, że z kont naszych użytkowników zostało pobrane około 300,000 dolarów, zamierzamy wszystkim poszkodowanym zwrócić pobrane środki,”

Podczas ataku użytkownicy znaleźli się w sytuacji, że zostali odcięci od swoich kont, a w niektórych przypadkach napastnicy ustawiali nawet dwuskładnikowe uwierzytelnianie przy użyciu numerów telefonów.

Credential stuffing jest popularną metodą w społeczności cyberprzestępców. Z czystej wygody, wielu konsumentów używa tej samej kombinacji nazwa użytkownika/hasło do wielu różnych usług. Problem z tym podejściem polega na tym, że gdy jedna z tych usług zostanie naruszona, użytkownicy ryzykują utratę o wiele więcej. Cyberprzestępcy również zdają sobie sprawę z tego faktu i często wykorzystują zautomatyzowane skrypty do testowania uzyskanych poświadczeń logowania w niezliczonych usługach, od sieci mediów społecznościowych, przez witryny handlowe, po zakłady i konta bankowe.

Użytkownikom zaleca się tworzenie silnych i unikalnych haseł do wszystkich swoich kont internetowych oraz korzystanie z menedżerów haseł w celu zachowania bezpieczeństwa tych informacji.