De nouveaux détails sur un piratage du mois dernier montrent que des dizaines de milliers d’utilisateurs jouant joyeusement sur DraftKings ont peut-être vu leurs informations personnelles volées grâce aux informations de compte achetées sur le site de paris sportifs.
Dans une lettre datée du 16 décembre qui a apparemment été envoyée aux utilisateurs et qui a été signalée pour la première fois par BipOrdinateurla société a déclaré que 67 995 personnes avaient vu leurs données personnelles exposées à des pirates informatiques lors d’une violationajoutant au coup dur financier certains comptes sélectionnés lors d’une attaque de piratage par force brute le mois dernier.
La société a écrit que les utilisateurs auraient pu enregistrer le nom, l’adresse, le numéro de téléphone et l’adresse e-mail de leur compte pendant le piratage. Les pirates peuvent également avoir eu accès à la photo de profil des utilisateurs, au solde et aux quatre derniers chiffres de leur carte de paiement. La société a déclaré que le numéro de carte complet, ainsi que le code CVV et la date d’expiration ne sont pas stockés sur la page principale du compte.
Gizmodo a contacté DraftKings pour obtenir des commentaires, mais nous n’avons pas immédiatement reçu de réponse.
Le mois dernier, selon rapports à partir du moment. Pendant tout ce temps, les pirates sur Twitter étaient apparemment se réjouissant de leur vol alors que les utilisateurs tentaient d’obtenir des réponses des canaux d’assistance de DraftKings.
G/O Media peut toucher une commission
Cette brèche initiale en novembre a vu moins de 300 000 $ drainés des comptes d’utilisateurs, selon la société. Le co-fondateur de DraftKings, Pauler Liberman, a précédemment déclaré dans un communiqué qu’il rendait tous les clients concernés entiers. La société a également déclaré avoir réinitialisé les mots de passe des utilisateurs concernés.
BleepingComputer a rapporté qu’une ou plusieurs personnes inconnues qui avaient commis la violation avaient vendu les comptes avec des notes sur leurs soldes de dépôt pour 10 $ à 35 $ chacun. Comme l’a noté BleepingComputer, les comptes piratés ont d’abord connu un dépôt de 5 $ qui a permis un changement de mot de passe et un moyen de définir l’authentification à deux facteurs sur un nouveau numéro de téléphone afin d’encaisser le compte. Une capture d’écran des instructions pour pirater la liste des comptes DraftKings « Étape 5 » comme « Profitez de votre argent! »
DraftKings a qualifié ce piratage d' »attaque de navigation par identifiants » causée par des noms d’utilisateur et des mots de passe obtenus à partir d’une « source tierce ». La société a laissé entendre que l’attaque était due au fait que les utilisateurs utilisaient leur même nom d’utilisateur et mot de passe sur différents sites Web, qui étaient ensuite utilisés pour accéder aux comptes d’utilisateurs.
Dans ces types de piratage par force brute, les acteurs malveillants utilisent des outils de spam pour effectuer des millions de tentatives de connexion à la fois en utilisant des mots de passe trouvés par des sources extérieures.
Comme l’a noté CNBC En novembre, l’application de paris sportifs rivale FanDuel a également noté une augmentation du nombre de tentatives de piratage sur ses systèmes.
GIPHY App Key not set. Please check settings