Gli utenti della popolare piattaforma di scommesse sportive DraftKings sono stati oggetto di un attacco di credential stuffing che è costato alle vittime circa 300,000 euro.
Pubblicando una dichiarazione tramite Twitter, il co-fondatore e presidente dell'azienda, Paul Liberman, ha affermato che i sistemi della piattaforma non sono stati compromessi, ma che l'incidente è stato il risultato di cattive pratiche di sicurezza informatica da parte degli utenti.
"DraftKings è a conoscenza del fatto che alcuni clienti stanno riscontrando attività irregolari con i loro account. Attualmente riteniamo che le informazioni di accesso di questi clienti (si aprono in una nuova scheda) siano state compromesse su altri siti Web e quindi utilizzate per accedere ai loro account DraftKings dove hanno utilizzato le stesse informazioni di accesso ", si legge nella dichiarazione. "Non abbiamo visto alcuna prova che i sistemi DraftKings siano stati violati per ottenere queste informazioni".
Configurazione dell'autenticazione a più fattori
Liberman ha continuato dicendo che mentre questo è l'errore degli utenti finali, la società rimborserà comunque i clienti interessati:
"Abbiamo identificato meno di 300,000 euro di fondi dei clienti che sono stati colpiti e intendiamo porre rimedio a tutti i clienti che sono stati colpiti".
Durante l'attacco, gli utenti sono stati bloccati dai propri account e, in alcuni casi, gli aggressori hanno persino impostato l'autenticazione a due fattori utilizzando i loro numeri di telefono.
Il riempimento delle credenziali è un metodo popolare nella comunità dei criminali informatici. Per pura comodità, molti consumatori finiscono per utilizzare la stessa combinazione nome utente/password per diversi servizi.
Il problema con questo approccio è che una volta che uno di questi servizi viene compromesso, gli utenti potrebbero perderne molti altri. Anche i criminali informatici sono consapevoli di questo fatto e spesso utilizzano script automatici per testare le credenziali di accesso ottenute da un'ampia varietà di servizi, dai social media ai siti di vendita al dettaglio, giochi d'azzardo e conti bancari.
Gli utenti sono incoraggiati a creare password complesse e univoche per tutti i loro account online e utilizzare gestori di password per proteggere queste informazioni.
Via: Il Registro (si apre in una nuova scheda)