スポーツベッティング大手のDraftKingsは、最近発生したクレデンシャルスタッフィング攻撃の波により、顧客アカウントがハッキングされたことを、非公開の人数の顧客に通知しました。
DraftKingsは2012年に設立され、ボストンに本拠を置くギャンブル企業で、スポーツブックおよびデイリーファンタジースポーツ(DFS)サービスを提供しており、NFL、NHL、PGA TOUR、WNBA、UFC、NASCARの公式パートナーです。DraftKingsは5,100人以上の従業員を抱え、2024年末時点で47億7,000万ドルの収益を報告しています。
10月2日(木)に送付されたデータ侵害通知書で、DraftKingsは影響を受けた顧客に対し、攻撃者がアカウントおよび「限定的な量」のデータにアクセスしたことを知らせました。これらの攻撃はクレデンシャルスタッフィングキャンペーンの特徴を示していました。
クレデンシャルスタッフィングとは、攻撃者が他のオンラインサービスから盗まれたユーザー名とパスワードの組み合わせを使い、自動化ツールでユーザーアカウントへの侵入を試みる手法です。特に複数のプラットフォームで同じ認証情報を使い回しているユーザーに対して効果的です。脅威アクターはアカウントを乗っ取り、個人情報や金融情報を盗み、ダークウェブで販売したり、なりすましやその他の悪意ある目的で利用したりします。
しかし同社によると、攻撃者は「政府発行の身分証明番号や完全な金融口座番号」などの機密データや、顧客の銀行口座への侵入やなりすましを可能にする情報にはアクセスできなかったとしています。
「DraftKings以外の情報源からログイン認証情報を盗み出し、この攻撃で使用したことにより、悪意のある第三者が一時的に一部のDraftKings顧客のアカウントにログインできた可能性があります」とDraftKingsは述べています。
「お客様のアカウントがアクセスされた場合、攻撃者はお名前、ご住所、生年月日、電話番号、メールアドレス、支払いカードの下4桁、プロフィール写真、過去の取引情報、アカウント残高、パスワードが最後に変更された日付などを閲覧できた可能性があります。」
これらの攻撃への対応として、同社は影響を受けた可能性のある顧客にDraftKingsアカウントのパスワードリセットを求め、DK Horseアカウントへのログインには多要素認証の有効化を義務付けます。
DraftKingsはまた、顧客に対し、アカウントのパスワード変更、銀行口座や信用情報の確認、信用情報のセキュリティ凍結、詐欺アラートの設定などの予防措置を講じるよう助言しています。
DraftKingsの広報担当者は、本日BleepingComputerが連絡した際、すぐにはコメントできませんでした。
DraftKingsはまた、2022年11月に、別のクレデンシャルスタッフィングキャンペーンで最大30万ドルがアカウントから盗まれたことを明らかにしました。1か月後、同社はハッキング被害にあった67,995人の顧客に数十万ドルを返金しました。
FBIは数年来、漏洩した認証情報のリストや自動化ツールが容易に入手できることから、クレデンシャルスタッフィング攻撃が大幅に増加する脅威であると警告しています。
