Kompanija za sportsko klađenje DraftKings obavijestila je nepoznat broj korisnika da su njihovi nalozi hakovani u novom talasu credential stuffing napada.
DraftKings, osnovan 2012. godine i sa sjedištem u Bostonu, pruža usluge sportskog klađenja i dnevnih fantazijskih sportova (DFS). Kompanija je zvanični partner NFL-a, NHL-a, PGA TOUR-a, WNBA-a, UFC-a i NASCAR-a, zapošljava više od 5.100 ljudi i prijavila je prihod od 4,77 milijardi dolara na kraju 2024. godine.
U pismima o kompromitovanju podataka poslatim 2. oktobra, DraftKings je obavijestio pogođene korisnike da su hakeri uspjeli da pristupe njihovim nalozima i „ograničenoj količini“ podataka, u napadima koji nose sve karakteristike credential stuffing kampanje.
Credential stuffing podrazumijeva korišćenje automatizovanih alata za probijanje korisničkih naloga pomoću ukradenih kombinacija korisničkih imena i lozinki sa drugih internet servisa. Ova metoda je posebno efikasna protiv korisnika koji koriste iste akreditive na više platformi. Hakeri tako preuzimaju naloge kako bi ukrali lične i finansijske podatke, koje kasnije prodaju na dark webu ili koriste za krađu identiteta i druge maliciozne aktivnosti.
Kompanija je, međutim, saopštila da hakeri nisu pristupili osjetljivim podacima kao što su „brojevi ličnih dokumenata, puni brojevi bankovnih računa“ ili druge informacije koje bi omogućile direktnu krađu sredstava ili zloupotrebu identiteta.
„Krađom akreditiva sa izvora koji nije povezan sa DraftKingsom i njihovom upotrebom u ovom napadu, napadač je možda privremeno uspio da se prijavi na određene korisničke naloge DraftKingsa“, navodi se u saopštenju kompanije.
„U slučaju da je vaš nalog kompromitovan, napadač je mogao da vidi vaše ime, adresu, datum rođenja, broj telefona, adresu e-pošte, posljednje četiri cifre platne kartice, profilnu fotografiju, informacije o prethodnim transakcijama, stanje na nalogu i datum posljednje promjene lozinke.“
Kao odgovor na ove napade, DraftKings zahtijeva od potencijalno pogođenih korisnika da resetuju lozinke svojih naloga i omoguće višefaktorsku autentifikaciju za prijave na DK Horse naloge.
Kompanija je takođe savjetovala korisnike da promijene lozinke, redovno provjeravaju svoje bankovne i kreditne izvještaje, postave zabrane pristupa kreditnim podacima (security freeze) i aktiviraju upozorenja o prevari kao dodatnu mjeru opreza.
Podsjetimo, u novembru 2022. godine DraftKings je otkrio da je do 300.000 dolara ukradeno iz naloga kompromitovanih u sličnom credential stuffing napadu. Mjesec kasnije, kompanija je refundirala stotine hiljada dolara za 67.995 pogođenih korisnika.
FBI već godinama upozorava da credential stuffing napadi predstavljaju rastuću prijetnju zbog lako dostupnih baza sa ukradenim akreditivima i automatizovanih alata.
„DraftKings je prijavio potencijalni bezbjednosni incident koji uključuje sumnjive prijave na naloge manje od 30 korisnika“, rekao je portparol kompanije.
„Naša istraga do sada nije pronašla dokaze da su korišćeni akreditivi pribavljeni od DraftKingsa ili da su sistemi i mreže kompanije kompromitovani. Najvažnije, nijedan korisnik nije pretrpio finansijski gubitak zbog ovog incidenta.“
Izvor: BleepingComputer
