18-Jähriger wegen Hacking von 60.000 DraftKings-Benutzerkonten angeklagt

Bundesbeamte haben einen 18-jährigen Einwohner von Wisconsin wegen eines Hacks angeklagt, bei dem im vergangenen Jahr 60.000 Benutzerkonten der Sportwetten-Website DraftKings gehackt wurden.

Joseph Garrison war berechnet(Öffnet in einem neuen Fenster) mit der Verschwörung, durch einen „Credential-Stuffing-Angriff“ Gelder von DraftKings-Benutzerkonten abzuziehen. Dabei werden Benutzernamen und Passwörter, die bei früheren Datenschutzverstößen aufgedeckt wurden, mitgenommen und Computerprogramme eingesetzt, um die gestohlenen Zugangsdaten in andere Websites einzuschleusen, um in Konten einzudringen, die dieselben Kombinationen aus Benutzername und Passwort verwendet haben.

Bundesbeamte nannten den Namen der Sportwettenseite nicht. Aber DraftKings teilte PCMag mit, dass man mit den Strafverfolgungsbehörden zusammengearbeitet habe, um die „bösen Täter“ hinter dem Angriff zu fassen. (Im Dezember hat das Unternehmen auch gewarnt(Öffnet in einem neuen Fenster) Benutzer über den Vorfall.)

Angeblich startete Garrison den Credential-Stuffing-Angriff mit Hilfe anderer im November auf DraftKings und erfasste erfolgreich rund 60.000 Konten. „Garrison verkaufte dann den Zugang zu diesen Opferkonten über verschiedene Websites, die illegale Kontozugangsdaten vermarkteten und verkauften“, heißt es in einem Kriminalbericht des FBI Beschwerde(Öffnet in einem neuen Fenster).

Garrison verkaufte die gekaperten DraftKings-Konten mit Anweisungen zur Ableitung der Gelder, was das Hinzufügen einer neuen Zahlungsmethode zu einem gekaperten Konto beinhaltete. „Mit dieser Methode haben die Hacker etwa 600.000 US-Dollar von etwa 1.600 Opferkonten gestohlen“, sagt das FBI.

(Quelle: FBI)

Bundesermittler brachten Garrison mit den Verbrechen in Verbindung, indem sie sich die IP-Adresse ansahen, „die die Anweisungen hochgeladen hat, mit diesen gestohlenen Zugangsdaten Geld von den Konten des Opfers zu stehlen“. Diese IP-Adresse war mit einem Wohnsitz in Wisconsin verknüpft, der Garrisons Eltern gehörte. Anschließend durchsuchten die Polizeikräfte seine Wohnung, einschließlich seines Heimcomputers und seines Smartphones.

„Auf dem Garrison-Computer haben die Strafverfolgungsbehörden mindestens 69 Wortlisten gefunden, die mindestens 38.484.088 individuelle Benutzernamen- und Passwortkombinationen enthielten“, heißt es in der Beschwerde des FBI. Die Ermittler deckten auch Nachrichten auf, die Garrison an seine Mitarbeiter geschickt hatte, in denen es um die Durchführung der Hackerangriffe und den Verkauf des Zugriffs auf gekaperte DraftKings-Konten ging.

„In einem bestimmten Gespräch diskutierte Garrison ausführlich und teilweise darüber, wie erfolgreich er bei Credential-Stuffing-Angriffen war, wie sehr er Credential-Stuffing-Angriffe genoss und wie Garrison glaubte, dass die Strafverfolgungsbehörden ihn weder fassen noch strafrechtlich verfolgen würden“, sagen Bundesbeamte .

Garrison betrieb zuvor auch eine Website namens „Goat Shop“, die gehackte Benutzerkonten verkaufte und in der Spitze 15.000 US-Dollar pro Tag einbrachte. Aber es sieht so aus, als ob er gezwungen war, den Betrieb des Ladens einzustellen, da in den Strafanzeigen des FBI vermerkt war, dass die Polizei von Wisconsin Garrison interviewt hatte im Juni 2022, als er noch minderjährig gewesen wäre.

Trotz der Befragung durch die Polizei konnte Garrison nicht davon abhalten, sich weiteren Hacking-Aktivitäten zu widmen. „Betrug macht Spaß“, schrieb er einem Mitarbeiter zwei Monate bevor er DraftKings ins Visier nahm. „Ich bin süchtig danach, Geld auf meinem Konto zu sehen … ich weiß nicht, ich bin besessen davon, Scheiße zu umgehen.“

Ihm drohen nun jahrzehntelange Gefängnisstrafen, wenn er wegen der Anklagen für schuldig befunden wird, zu denen unter anderem die Verschwörung zum Computereinbruch und die Beteiligung am Überweisungsbetrug gehören.