スポーツベッティング企業のDraftKingsは、最近発生したクレデンシャル・スタッフィング攻撃によってオンラインアカウントが標的となったことをユーザーに通知しています。
同社は影響を受けたユーザーへの通知書で、これらの攻撃が9月2日に発見され、他のソースから取得された認証情報を使ってユーザーのアカウントにログインしたと説明しています。
「DraftKings以外のソースからログイン認証情報を盗み出し、この攻撃で使用することにより、悪意のある第三者が一時的に特定のDraftKings顧客のアカウントにログインできた可能性があります」と、通知書のコピーには記載されています。この通知書はマサチューセッツ州OCABRに提出されました。
攻撃者は、ユーザーの氏名、住所、メールアドレス、電話番号、生年月日、プロフィール写真、支払いカードの下4桁、取引情報、アカウント残高、パスワードが最後に変更された日時などにアクセスした可能性があります。
「重要な点として、これまでの調査では、あなたのログイン認証情報がDraftKingsから取得された証拠や、今回のインシデントでDraftKingsのコンピューターシステムやネットワークが侵害された証拠は確認されていません」と同社は述べています。
またDraftKingsは、政府発行のID番号や金融口座番号、その他の機微な情報が今回の攻撃で漏洩した証拠もないとしています。
同社はこのキャンペーンについて調査を開始しており、影響を受けた可能性のあるユーザーに対してアカウントのパスワードリセットを求めています。また、DraftKings Horseアカウントへのログインには多要素認証を必須としています。
スポーツベッティング企業は、影響を受けたユーザー数を公表していません。SecurityWeekはこのキャンペーンに関する追加情報を求めてDraftKingsにメールで問い合わせており、同社から回答があれば本記事を更新します。
2022年、DraftKingsは約68,000件のユーザーアカウントが被害を受けたクレデンシャル・スタッフィング攻撃について公表しました。2024年初頭には、Joseph Garrisonが懲役18か月の判決を受け、さらにNathan AustadとKamerin Stokesの2名がこの攻撃で起訴されています。
翻訳元: https://www.securityweek.com/draftkings-warns-users-of-credential-stuffing-attacks/
