Benutzer der beliebten Sportwettenplattform DraftKings waren Opfer eines Credential-Stuffing-Angriffs, der seine Opfer etwa 300.000 US-Dollar kostete.
Der Mitbegründer und Präsident des Unternehmens, Paul Liberman, gab eine Erklärung über Twitter ab und sagte, die Systeme der Plattform seien nicht kompromittiert worden, sondern der Vorfall sei das Ergebnis der schlechten Cybersicherheitspraktiken der Benutzer.
„DraftKings ist sich bewusst, dass einige Kunden unregelmäßige Aktivitäten mit ihren Konten haben. Wir gehen derzeit davon aus, dass die Login-Daten (öffnet in neuem Tab) dieser Kunden wurde auf anderen Websites kompromittiert und dann für den Zugriff auf ihre DraftKings-Konten verwendet, wo sie dieselben Anmeldeinformationen verwendeten“, heißt es in der Erklärung. „Wir haben keine Beweise dafür gesehen, dass die Systeme von DraftKings verletzt wurden, um diese Informationen zu erhalten.“
MFA einrichten
Liberman sagte weiter, dass das Unternehmen, obwohl dies der Fehler der Endbenutzer ist, die betroffenen Kunden trotzdem erstatten wird:
„Wir haben weniger als 300.000 US-Dollar an betroffenen Kundengeldern identifiziert, und wir beabsichtigen, jeden betroffenen Kunden zu heilen.“
Während des Angriffs wurden Benutzer von ihren Konten ausgeschlossen, und in einigen Fällen richteten die Angreifer sogar eine Zwei-Faktor-Authentifizierung mit ihren Telefonnummern ein.
Credential Stuffing ist eine beliebte Methode in der Gemeinschaft der Cyberkriminellen. Aus reiner Bequemlichkeit verwenden viele Verbraucher am Ende dieselbe Benutzername/Passwort-Kombination für eine Reihe verschiedener Dienste.
Das Problem bei diesem Ansatz besteht darin, dass die Benutzer riskieren, viel mehr zu verlieren, sobald einer dieser Dienste kompromittiert ist. Auch Cyberkriminelle sind sich dieser Tatsache bewusst und verwenden häufig automatisierte Skripte, um die erhaltenen Anmeldeinformationen bei einer Vielzahl von Diensten zu testen, von sozialen Netzwerken über Einzelhandelsseiten bis hin zu Wett- und Bankkonten.
Benutzern wird empfohlen, starke und eindeutige Passwörter für alle ihre Online-Konten zu erstellen und Passwortmanager zu verwenden, um diese Informationen sicher zu halten.
Über: Das Register (öffnet in neuem Tab)