Nutzer der beliebten Sportwetten-Plattform DraftKings waren Ziel eines Credential-Stuffing-Angriffs, der seine Opfer schätzungsweise 300,000 Euro kostete.
In einer Erklärung über Twitter sagte der Mitbegründer und Präsident des Unternehmens, Paul Liberman, dass die Systeme der Plattform nicht kompromittiert wurden, sondern dass der Vorfall das Ergebnis schlechter Cybersicherheitspraktiken von Benutzern sei.
„DraftKings ist sich bewusst, dass bei einigen Kunden unregelmäßige Aktivitäten mit ihren Konten auftreten. Wir gehen derzeit davon aus, dass die Anmeldeinformationen dieser Kunden (öffnet sich in einem neuen Tab) auf anderen Websites kompromittiert und dann verwendet wurden, um von DraftKings aus auf ihre Konten zuzugreifen, wo sie dieselben verwendet haben.“ Anmeldeinformationen“, heißt es in der Erklärung. „Wir haben keine Beweise dafür gesehen, dass DraftKings-Systeme gehackt wurden, um an diese Informationen zu gelangen.“
Multi-Faktor-Authentifizierung konfigurieren
Liberman fuhr fort, dass dies zwar der Fehler des Endbenutzers sei, das Unternehmen den betroffenen Kunden jedoch dennoch eine Rückerstattung erstatten werde:
„Wir haben festgestellt, dass weniger als 300,000 Euro an Kundengeldern betroffen sind, und beabsichtigen, bei allen betroffenen Kunden Abhilfe zu schaffen.“
Während des Angriffs wurden Benutzer von ihren Konten gesperrt, und in einigen Fällen richteten die Angreifer sogar eine Zwei-Faktor-Authentifizierung mit ihren Telefonnummern ein.
Credential Stuffing ist eine beliebte Methode in der Gemeinschaft der Cyberkriminellen. Aus reiner Bequemlichkeit verwenden viele Verbraucher am Ende dieselbe Benutzername/Passwort-Kombination für mehrere verschiedene Dienste.
Das Problem bei diesem Ansatz besteht darin, dass Benutzer, sobald einer dieser Dienste kompromittiert ist, viele weitere verlieren können. Cyberkriminelle sind sich dieser Tatsache ebenfalls bewusst und verwenden häufig automatisierte Skripte, um Anmeldeinformationen zu testen, die sie von einer Vielzahl von Diensten erhalten haben, von sozialen Medien über Einzelhandelsseiten bis hin zu Glücksspielen und Bankkonten.
Benutzer werden ermutigt, starke und eindeutige Passwörter für alle ihre Online-Konten zu erstellen und Passwortmanager zu verwenden, um diese Informationen zu schützen.
Über: Die Registrierung (Öffnet in einem neuen Tab)