Tiener steelt 600.000 dollar via credential stuffing-aanval op goksite
Een 19-jarige Amerikaanse man heeft bekend dat hij door middel van een credential stuffing-aanval 600.000 dollar van goksite DraftKings heeft gestolen, zo hebben de Amerikaanse autoriteiten bekendgemaakt. Eind vorig jaar werd DraftKings slachtoffer van een credential stuffing-aanval.
Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Via de aanval werd er toegang tot zo'n 60.000 accounts verkregen. Vervolgens werd van zo'n 1600 gebruikers het geld buitgemaakt dat deze gebruikers in hun account hadden. DraftKings stelde in eerste instantie dat het om 300.000 dollar ging, maar volgens de procureur-generaal in deze zaak betreft het een bedrag van 600.000 dollar. DraftKings besloot getroffen gebruikers schadeloos te stellen.
Begin dit jaar vond er een huiszoeking bij de verdachte plaats. Op zijn computer werden software en zevenhonderd configuratiebestanden aangetroffen voor het uitvoeren van credential stuffing-aanvallen, alsmede veertig miljoen paren van gebruikersnamen en wachtwoorden. Daarnaast troffen agenten op zijn telefoon gesprekken aan met handlangers over het aanvallen van de goksite en stelen van geld. De tiener heeft nu bekend schuldig te zijn aan computervredebreuk, waarop een gevangenisstraf van maximaal vijf jaar staat.
Als iedere site gewoon [zelf usernamen kiest of] de gebruiker dwingt een unieke naam te kiezen met alleen letters en cijfers is de kans veel kleiner dat aanvalles er in slagen om deze onderling tussen sites te matchen en daarmee "hergebruik van wachtwoorden" af te straffen.
Dit zijn gewoon script/wp kiddies, weten niets van computers
internet aan sommige geven is vragen om problemen (zoals dit gokbedrijf wat de meest basale beveiligingszaken NIET op orde had... als je 60.000 accounts kunt leeghalen, doe je toch echt iets fout...
het zou toch moeten opvallen als er meer dan 3 accounts op 1 IP adres een foutief wachtwoord invoeren, of zelfs een correct wachtwoord. laat staan 60.000... want ik neem aan dat niet altijd de eerste inlogpoging succesvol was.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
