Les utilisateurs de la plate-forme populaire de paris sportifs DraftKings ont été la cible d’une attaque de bourrage d’informations d’identification qui a coûté environ 300 000 $ à ses victimes.
Publiant une déclaration via Twitter, le co-fondateur et président de la société, Paul Liberman, a déclaré que les systèmes de la plate-forme n’étaient pas compromis, mais plutôt que l’incident était le résultat de mauvaises pratiques de cybersécurité des utilisateurs.
« DraftKings est conscient que certains clients connaissent une activité irrégulière avec leurs comptes. Nous pensons actuellement que les informations de connexion (s’ouvre dans un nouvel onglet) de ces clients ont été compromis sur d’autres sites Web, puis utilisés pour accéder à leurs comptes DraftKings où ils ont utilisé les mêmes informations de connexion », indique le communiqué. « Nous n’avons vu aucune preuve que les systèmes de DraftKings ont été piratés pour obtenir ces informations. »
Configuration de l’authentification multifacteur
Liberman a poursuivi en disant que bien qu’il s’agisse de l’erreur des utilisateurs finaux, la société remboursera toujours les clients concernés :
« Nous avons identifié moins de 300 000 $ de fonds clients qui ont été touchés, et nous avons l’intention de réparer tout client qui a été touché. »
Au cours de l’attaque, les utilisateurs se sont retrouvés bloqués sur leurs comptes et, dans certains cas, les attaquants ont même mis en place une authentification à deux facteurs à l’aide de leurs numéros de téléphone.
Le credential stuffing est une méthode populaire dans la communauté cybercriminelle. Par pure commodité, de nombreux consommateurs finissent par utiliser la même combinaison nom d’utilisateur/mot de passe pour un certain nombre de services différents.
Le problème avec cette approche est qu’une fois qu’un de ces services est compromis, les utilisateurs risquent d’en perdre beaucoup plus. Les cybercriminels sont également conscients de ce fait et utilisent souvent des scripts automatisés pour tester les identifiants de connexion obtenus sur une myriade de services, des réseaux de médias sociaux aux sites de vente au détail, en passant par les comptes de paris et bancaires.
Il est conseillé aux utilisateurs de créer des mots de passe forts et uniques pour tous leurs comptes en ligne et d’utiliser des gestionnaires de mots de passe pour sécuriser ces informations.
Via : Le Registre (s’ouvre dans un nouvel onglet)