Sonntag, November 27, 2022

DraftKings-Spieler verlieren 300.000 US-Dollar bei einem Credential-Stuffing-Angriff

Ein Credential-Stuffing-Angriff am Wochenende, der sich auf das Sportwettengeschäft von DraftKings auswirkte, führte dazu, dass bis zu 300.000 US-Dollar von Kundenkonten gestohlen wurden.

Das in Boston ansässige Unternehmen sagte, dass seine Systeme nicht gehackt wurden, aber dass die Anmeldeinformationen der betroffenen Kunden an anderer Stelle gestohlen und auf ihre DraftKings-Konten angewendet wurden, wo dieselben Passwörter wiederverwendet wurden.

In dem Erklärung Auf Twitter schrieb Paul Liberman, Mitbegründer und Präsident von DraftKings, dass das Unternehmen das von Kunden gestohlene Geld ersetzen würde. Liberman warnte Kunden auch davor, eindeutige Passwörter für DraftKings und andere Websites zu verwenden, die sie zur Authentifizierung benötigen.

„Wir raten unseren Kunden dringend, ihre Passwörter mit niemandem zu teilen, einschließlich Websites von Drittanbietern, um Wettinformationen auf DraftKings und anderen Wett-Apps zu verfolgen“, schrieb er.

Kundenbeschwerden sind auf Reddit, Twitter und anderen Social-Media-Sites aufgetaucht, weil sie aus ihren DraftKings-Konten ausgesperrt wurden und ihr gesamtes Geld gestohlen wurde. Einige haben über eine anfängliche Einzahlung von 5 $ geschrieben, gefolgt von der Änderung ihrer Passwörter. Einige sagten auch, dass die Zwei-Faktor-Authentifizierung (2FA) für ihr Konto eingerichtet und an ein anderes Telefon weitergeleitet wurde, das nicht ihnen gehörte.

Viele haben ihre Wut gegen DraftKings gerichtet.

„Gehackt, Konto geleert und eine automatische E-Mail-Antwort“ von DraftKings, schrieb ein Kunde auf Reddit. „2FA wurde ohne Zustimmung des Benutzers eingerichtet, an eine unbekannte Telefonnummer umgeleitet, und jetzt können wir nicht auf unser Konto zugreifen.“

Ein anderer schrieb: „Zum Glück hatten sie keine Auszahlungsoption. Ich habe versucht, 5 $ einzuzahlen, und es ist fehlgeschlagen, sodass sie nicht per Karte abheben konnten. Alles, was der Support getan hat, war, mein Konto einzuschränken, damit sie es untersuchen können „Mal sehen was passiert.“

Dies ist nur die neueste warnende Geschichte über die Gefahren der Verwendung derselben Anmeldeinformationen für mehrere Online-Konten, und sie trägt dazu bei, die Nachfrage einiger Technologieanbieter wie Microsoft, Google und Apple nach einer Abkehr von Passwörtern als Mittel zur Authentifizierung und Authentifizierung anzuheizen hin zu Alternativen wie dem Scannen von Gesichtern oder Fingerabdrücken.

Andere Tools wie 2FA oder Multi-Faktor-Authentifizierung (MFA) sind laut James McQuiggan, Verfechter des Sicherheitsbewusstseins bei KnowBe4, ebenfalls entscheidende, wenn auch nicht narrensichere Methoden zum Schutz von Online-Konten.

„Wenn Benutzer dasselbe Passwort für verschiedene Konten haben, erhalten Cyberkriminelle wahrscheinlich Zugriff auf dieses Konto“, sagte McQuiggan. Das Register. „Opfer werden das Gefühl haben, dass ihnen das nie passieren könnte, aber wenn ein Cyberkrimineller Zugang zu Ihrem Konto erhält, kann er Ihr Passwort ändern und Sie aussperren, wie bei diesem Vorfall mit DraftKings zu sehen ist.“

Mit Credential Stuffing nehmen Angreifer Anmeldeinformationen, die von anderen Online-Konten gestohlen oder im Dark Web gekauft wurden, und verwenden automatisierte Software, um Tausende oder Millionen von Brute-Force-Anmeldeversuchen auf anderen Konten zu starten, um Daten und Geld zu stehlen. Hier kommt die Gefahr der Wiederverwendung von Benutzernamen und Passwörtern für mehrere Konten ins Spiel.

Ein Problem ist, dass Menschen heutzutage eine Vielzahl von Konten haben können, für die Anmeldeinformationen erforderlich sind. Das Identity Theft Resource Center schätzt, dass die durchschnittliche Person etwa 100 Konten hat, die Passwörter erfordern, weshalb die Organisation sagt, dass nur etwa 15 % der Menschen starke, eindeutige Passwörter verwenden.

Akamai gab an, von Juli 2018 bis Juni 2020 mehr als 100 Milliarden Credential-Stuffing-Angriffe entdeckt zu haben.

Das FBI hat im August eine Bedrohungsempfehlung zum Thema Credential Stuffing herausgegeben und festgestellt, dass es eine Reihe öffentlich zugänglicher Websites gibt, die gestohlene Anmeldeinformationen verkaufen. Die Agentur nannte zwei Websites, die mehr als 300.000 einzigartige Sätze gestohlener Anmeldeinformationen enthielten, mehr als 175.000 registrierte Kunden hatten und mehr als 400.000 US-Dollar Umsatz gemacht hatten.

Eine Seite wie DraftKings ist ein attraktives Ziel. Das Unternehmen macht viel Geld und erzielte im dritten Quartal einen Umsatz von 502 Millionen US-Dollar – eine Steigerung von 136 Prozent gegenüber dem Vorjahr – mit 493 Millionen US-Dollar im B2C-Segment des Unternehmens.

DraftKings verzeichnete auch ein Wachstum der Zahl der monatlich zahlenden Einzelkunden um 22 % auf 1,6 Millionen, wobei der durchschnittliche Umsatz pro Kunde 100 US-Dollar erreichte, was einer Steigerung von 114 % entspricht. ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles