Een 19-jarige Amerikaanse man heeft bekend dat hij door middel van een credential stuffing-aanval 600.000 dollar van goksite DraftKings heeft gestolen, zo hebben de Amerikaanse autoriteiten bekendgemaakt. Eind vorig jaar werd DraftKings slachtoffer van een credential stuffing-aanval.
Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Via de aanval werd er toegang tot zo'n 60.000 accounts verkregen. Vervolgens werd van zo'n 1600 gebruikers het geld buitgemaakt dat deze gebruikers in hun account hadden. DraftKings stelde in eerste instantie dat het om 300.000 dollar ging, maar volgens de procureur-generaal in deze zaak betreft het een bedrag van 600.000 dollar. DraftKings besloot getroffen gebruikers schadeloos te stellen.
Begin dit jaar vond er een huiszoeking bij de verdachte plaats. Op zijn computer werden software en zevenhonderd configuratiebestanden aangetroffen voor het uitvoeren van credential stuffing-aanvallen, alsmede veertig miljoen paren van gebruikersnamen en wachtwoorden. Daarnaast troffen agenten op zijn telefoon gesprekken aan met handlangers over het aanvallen van de goksite en stelen van geld. De tiener heeft nu bekend schuldig te zijn aan computervredebreuk, waarop een gevangenisstraf van maximaal vijf jaar staat.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.