司法省(DoJ)の発表によると、ファンタジースポーツおよびベッティングサイトに対するクレデンシャルスタッフィング攻撃を実行したとして、Nathan Austadが3人目の有罪答弁者となった。
ミネソタ州ファーミントン在住のAustad(21歳)で、「Snoopy」としても知られる同被告は、数千のユーザーアカウントをハッキングし、それらへのアクセスを販売して資金を引き出す計画に関与したことを法廷で認めた。
法廷で提示された文書および陳述によれば、Austadと共謀者らは当該ベッティングサイトで6万件超のユーザーアカウントを侵害した。
ハッカーらは侵害されたアカウントに新たな支払い方法を追加し、約1,600人の被害者からおよそ60万ドルを盗み取った。
さらに文書によると、ハッカーらはさまざまなオンラインショップを通じて被害者アカウントへのアクセスを販売していた。
Austadはそのようなショップの1つを管理していたほか、この計画による収益を含む約46万5,000ドル相当の仮想資産を受け取った暗号資産アカウントも管理していた。
また、裁判資料によれば、Austadは共謀者らに対し、自分たちの活動に関する捜査の存在についてメッセージを送っていた。
コンピューター侵入の共謀罪について有罪を認めたAustadは、最長で懲役5年に直面している。
影響を受けたベッティングサイトの名称は明らかにされていないが、2022年11月にクレデンシャルスタッフィング攻撃で約68,000件のユーザーアカウントが侵害されたと発表したDraftKingsである可能性が高い。
DraftKingsへのハッキングに関連しては、Joseph GarrisonとKamerin Stokesの2人も逮捕・起訴されている。
Garrisonは2023年11月に有罪を認め、2024年初頭に懲役18か月の判決を受けた。Stokesは2024年4月に有罪を認めた。
2025年10月、DraftKingsは警告として、同社ユーザーを狙った新たなクレデンシャルスタッフィング攻撃の波について注意喚起した。
この種の攻撃では、脅威アクターが過去のデータ侵害で入手した認証情報の組み合わせを用い、無関係なウェブサイト上のユーザーアカウントへのログインを試みる。攻撃は、複数のアカウントで同じユーザー名とパスワードが使い回されていることを当てにしている。
翻訳元: https://www.securityweek.com/third-draftkings-hacker-pleads-guilty/
