O gigante das apostas esportivas DraftKings notificou um número não revelado de clientes sobre a invasão de suas contas em uma recente onda de ataques de credential stuffing.
Fundada em Boston em 2012, a DraftKings é uma empresa de jogos que oferece serviços de sportsbook e daily fantasy sports (DFS).
É parceira oficial da NFL, NHL, PGA TOUR, WNBA, UFC e NASCAR.
Com mais de 5.100 colaboradores, a empresa reportou receita de US$ 4,77 bilhões ao final de 2024.
Em cartas enviadas na quinta-feira, 2 de outubro, a DraftKings comunicou aos clientes afetados que invasores tiveram acesso às suas contas e a uma “quantidade limitada” de dados, caracterizando um ataque típico de credential stuffing.
Esse tipo de ataque utiliza ferramentas automatizadas para tentar acessar contas com combinações de usuário e senha roubadas de outras plataformas, sendo especialmente eficaz contra usuários que reutilizam credenciais em diferentes serviços.
Os criminosos buscam assumir o controle das contas para roubar informações pessoais e financeiras, que podem ser vendidas na dark web ou usadas para fraudes e roubo de identidade.
Apesar disso, a empresa afirmou que dados sensíveis, como “números de documentos oficiais, números completos de contas financeiras” e outras informações que poderiam permitir acesso bancário ou roubo de identidade, não foram acessados.
“Ao roubar credenciais de uma fonte externa à DraftKings e utilizá-las neste ataque, o invasor pode ter conseguido, temporariamente, acessar contas de certos clientes”, explicou a empresa.
“Caso sua conta tenha sido acessada, o invasor pode ter visto seu nome, endereço, data de nascimento, telefone, e-mail, últimos quatro dígitos do cartão de pagamento, foto de perfil, informações sobre transações anteriores, saldo da conta e a data da última alteração de senha.”
Como resposta, a DraftKings exigirá que os clientes possivelmente afetados redefinam suas senhas e ativem a autenticação multifator para acesso às contas do DK Horse.
Além disso, a companhia recomendou que os usuários alterem suas senhas, monitorem suas contas bancárias e relatórios de crédito, solicitem bloqueios de segurança (security freezes) nesses relatórios e configurem alertas de fraude como medidas preventivas.
Um porta-voz da DraftKings não estava disponível para comentar quando consultado pelo BleepingComputer.
Em novembro de 2022, a DraftKings revelou outro incidente de credential stuffing que resultou no roubo de até US$ 300 mil.
Um mês depois, a empresa reembolsou centenas de milhares de dólares para 67.995 clientes cujas contas foram invadidas nesse episódio.
O FBI alerta há anos que ataques de credential stuffing são uma ameaça crescente, alimentada pela disponibilização de listas agregadas de credenciais vazadas e por ferramentas automatizadas cada vez mais acessíveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...