La société de paris sportifs DraftKings a partagé plus de détails sur la récente violation de compte qu’elle a subie.
Fin novembre, le co-fondateur et président de la société, Paul Liberman, s’est rendu sur Twitter pour annoncer un incident de sécurité après qu’un acteur menaçant ait apparemment utilisé le credential stuffing pour essayer de se connecter aux comptes DraftKings des gens.
Les criminels ont réussi dans des milliers de cas et ont fini par retirer plus de 300 000 dollars des comptes des personnes – bien que DraftKings ait depuis remboursé les clients concernés.
Aucune information de carte de crédit volée
Maintenant, dans une notification de violation déposée auprès du bureau du procureur général principal, la société a déclaré qu’un total de 67 995 personnes avaient vu leur compte compromis.
DraftKings a déclaré que l’acteur de la menace avait obtenu les informations de connexion ailleurs et les avait essayées contre les comptes de sa plate-forme. L’attaque a été un succès non pas grâce à DraftKings, mais plutôt en raison de ses utilisateurs ayant de mauvaises pratiques de sécurité et utilisant les mêmes mots de passe sur plusieurs services.
Le document détaille également le type d’informations consultées lors de l’incident, montrant que le vol d’identité (s’ouvre dans un nouvel onglet) et des attaques d’usurpation d’identité pourraient se produire dans un proche avenir :
« En cas d’accès à un compte, entre autres choses, l’attaquant aurait pu voir le nom, l’adresse, le numéro de téléphone, l’adresse e-mail du titulaire du compte, les quatre derniers chiffres de la carte de paiement, la photo de profil, les informations sur les transactions précédentes, le solde du compte et dernière date de changement de mot de passe », affirme l’annonce.
« Pour le moment, il n’y a actuellement aucune preuve que les attaquants ont accédé à votre numéro de sécurité sociale, votre numéro de permis de conduire ou votre numéro de compte financier.
« Alors que les mauvais acteurs peuvent avoir vu les quatre derniers chiffres de votre carte de paiement, votre numéro de carte de paiement complet, la date d’expiration et votre CVV ne sont pas stockés dans votre compte. »
Outre le remboursement de l’argent aux clients concernés, DraftKings a également réinitialisé les comptes des personnes et introduit de nouvelles alertes de fraude. Il a également exhorté ses utilisateurs à utiliser des mots de passe uniques pour leurs comptes en ligne, à activer l’authentification multifacteur (MFA) dans la mesure du possible et à ne jamais partager leurs identifiants de connexion avec des tiers.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)