Firma bukmacherska DraftKings udostępniła więcej szczegółów na temat niedawnego naruszenia konta, którego doznała.
Pod koniec listopada współzałożyciel i prezes firmy Paul Liberman poinformował na Twitterze o incydencie związanym z bezpieczeństwem po tym, jak cyberprzestępca najwyraźniej użył upychania danych uwierzytelniających, aby spróbować zalogować się na konta DraftKings.
Przestępcy odnieśli sukces w tysiącach przypadków i ostatecznie usunęli ponad 300,000 XNUMX euro z kont ludzi, chociaż od tego czasu DraftKings zwróciło klientom, których to dotyczyło.
Żadne dane karty kredytowej nie zostały skradzione
Teraz, w zawiadomieniu o naruszeniu złożonym w biurze najwyższego prokuratora generalnego, firma stwierdziła, że konta 67,995 XNUMX osób zostały naruszone.
DraftKings powiedział, że cyberprzestępca uzyskał dane logowania w innym miejscu i przetestował je na kontach na swojej platformie. Atak powiódł się nie z powodu DraftKings, ale dlatego, że jego użytkownicy stosowali słabe praktyki bezpieczeństwa i używali tych samych haseł w wielu usługach.
Dokument wyszczególnia również rodzaj informacji, do których uzyskano dostęp podczas incydentu, pokazując, że w najbliższej przyszłości mogą wystąpić kradzieże tożsamości (otwiera się w nowej karcie) i ataki typu phishing:
„W przypadku dostępu do konta osoba atakująca mogła zobaczyć m.in. imię i nazwisko, adres, numer telefonu, adres e-mail posiadacza konta, cztery ostatnie cyfry numeru karty płatniczej, zdjęcie profilowe, informacje o poprzednich transakcjach. , saldo konta i datę ostatniej zmiany hasła” – czytamy w ogłoszeniu.
„W tej chwili nie ma dowodów na to, że napastnicy uzyskali dostęp do Twojego numeru ubezpieczenia społecznego, numeru prawa jazdy lub numeru konta finansowego.
„Chociaż przestępcy mogli zobaczyć cztery ostatnie cyfry Twojej karty płatniczej, pełny numer karty płatniczej, data ważności ani kod CVV nie są przechowywane na Twoim koncie”.
Oprócz zwrotu pieniędzy dotkniętym klientom, DraftKings przywrócił także konta ludzi i wprowadził nowe ostrzeżenia o oszustwach. Wezwał również swoich użytkowników do używania unikalnych haseł do swoich kont internetowych, włączania uwierzytelniania wieloskładnikowego (MFA) tam, gdzie to możliwe, i nigdy nie udostępniania swoich danych logowania stronom trzecim.
Przez: BleepingComputer (Otwiera się w nowej karcie)