image

Tiener steelt 600.000 dollar via credential stuffing-aanval op goksite

maandag 20 november 2023, 10:54 door Redactie, 6 reacties

Een 19-jarige Amerikaanse man heeft bekend dat hij door middel van een credential stuffing-aanval 600.000 dollar van goksite DraftKings heeft gestolen, zo hebben de Amerikaanse autoriteiten bekendgemaakt. Eind vorig jaar werd DraftKings slachtoffer van een credential stuffing-aanval.

Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Via de aanval werd er toegang tot zo'n 60.000 accounts verkregen. Vervolgens werd van zo'n 1600 gebruikers het geld buitgemaakt dat deze gebruikers in hun account hadden. DraftKings stelde in eerste instantie dat het om 300.000 dollar ging, maar volgens de procureur-generaal in deze zaak betreft het een bedrag van 600.000 dollar. DraftKings besloot getroffen gebruikers schadeloos te stellen.

Begin dit jaar vond er een huiszoeking bij de verdachte plaats. Op zijn computer werden software en zevenhonderd configuratiebestanden aangetroffen voor het uitvoeren van credential stuffing-aanvallen, alsmede veertig miljoen paren van gebruikersnamen en wachtwoorden. Daarnaast troffen agenten op zijn telefoon gesprekken aan met handlangers over het aanvallen van de goksite en stelen van geld. De tiener heeft nu bekend schuldig te zijn aan computervredebreuk, waarop een gevangenisstraf van maximaal vijf jaar staat.

Reacties (6)
20-11-2023, 11:08 door Anoniem
Blijkbaar had hij z'n eigen beveiliging ook niet op orde...
20-11-2023, 11:53 door Anoniem
Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
En wanneer websites e-mail adressen als "globaal unieke" usernamen gebruiken. Als iedere site gewoon zelf usernamen kiest of de gebruiker dwingt een unieke naam te kiezen met alleen letters en cijfers is de kans veel kleiner dat aanvalles er in slagen om deze onderling tussen sites te matchen en daarmee "hergebruik van wachtwoorden" af te straffen.
20-11-2023, 12:20 door SecOff
Door Anoniem:
Als iedere site gewoon [zelf usernamen kiest of] de gebruiker dwingt een unieke naam te kiezen met alleen letters en cijfers is de kans veel kleiner dat aanvalles er in slagen om deze onderling tussen sites te matchen en daarmee "hergebruik van wachtwoorden" af te straffen.
Als iedere site dat doet heb je hetzelfde probleem met hergebruik als met de e-mail adressen
20-11-2023, 14:43 door Anoniem
Door Anoniem: Blijkbaar had hij z'n eigen beveiliging ook niet op orde...

Dit zijn gewoon script/wp kiddies, weten niets van computers
20-11-2023, 17:46 door Anoniem
dit soort kinderen komen erachter dat wat ze kunnen voordat ze erachter komen wat de consequenties daarvan zijn...

internet aan sommige geven is vragen om problemen (zoals dit gokbedrijf wat de meest basale beveiligingszaken NIET op orde had... als je 60.000 accounts kunt leeghalen, doe je toch echt iets fout...
het zou toch moeten opvallen als er meer dan 3 accounts op 1 IP adres een foutief wachtwoord invoeren, of zelfs een correct wachtwoord. laat staan 60.000... want ik neem aan dat niet altijd de eerste inlogpoging succesvol was.
21-11-2023, 08:13 door Bitje-scheef
Ach MFA is soms zo slecht nog niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.