Berichten zufolge erlitt das große Sportwettenunternehmen BetMGM einen Cybersicherheitsvorfall, der dazu führte, dass die Daten von angeblich mehr als 1,5 Millionen Benutzern gestohlen wurden.
Ein Cyberkrimineller, der unter dem Pseudonym „betmgmhacked“ auftritt, ging in ein Hacking-Forum, um eine Anzeige für eine Datenbank zu veröffentlichen, die „jeden BetMGM-Casino-Kunden ab November 2022“ enthält.
Die Datenbank enthält nach Angaben der Angreifer sensible Daten von 1.569.310 Benutzern. Die Daten variieren von Kunde zu Kunde, umfassen jedoch Namen, Kontaktinformationen (Postanschrift, E-Mail-Adresse, Telefonnummern usw.), Geburtsdaten, Sozialversicherungsnummern (gehasht), Kontokennungen und BetMGM-Transaktionsdetails – jede Menge Informationen für einen soliden Identitätsdiebstahl (öffnet in neuem Tab) Kampagne.
Master-Casino-Datensätze
„Die Datenbank umfasst jeden BetMGM-Casino-Kunden (über 1,5 Millionen) ab November 2022 aus MI, NJ, ON, PV und WV. Jeder Kunde, der eine in dieser Datenbank enthaltene Casino-Wette platziert hat“, heißt es in der Anzeige.
Darüber hinaus behaupten die Angreifer, dass die Datenbank Daten von BetMGM-Casinobenutzern in New Jersey und Pennsylvania sowie einen „Master Casino“-Datensatz enthält, der Informationen über Kunden aus allen US-Bundesstaaten enthält.
Da die Anzeige veröffentlicht wurde, bestätigte das Unternehmen ihre Authentizität in einer Pressemitteilung, die Anfang dieser Woche veröffentlicht wurde. Darin sagte BetMGM, dass der Vorfall im November 2022 entdeckt wurde, aber höchstwahrscheinlich früher stattgefunden hat – höchstwahrscheinlich im Mai.
„BetMGM hat derzeit keine Beweise dafür, dass im Zusammenhang mit diesem Problem auf Benutzerkennwörter oder Kontoguthaben zugegriffen wurde“, heißt es in der Pressemitteilung. „Der Online-Betrieb von BetMGM wurde nicht beeinträchtigt. BetMGM stimmt sich mit den Strafverfolgungsbehörden ab und unternimmt Schritte, um seine Sicherheit weiter zu verbessern.“
Das Unternehmen warnte seine Kunden, dass in den kommenden Tagen und Wochen mit „unerbetenen Mitteilungen“ und „verdächtigen Aktivitäten“ zu rechnen sei.
Es gab kein Wort über die Methodik oder die Tools, die bei der Datenschutzverletzung verwendet wurden, und ob Malware oder Phishing-Seiten enthalten waren oder nicht.
Über: Piepender Computer (öffnet in neuem Tab)