- DraftKingsのアカウントが2025年9月2日にクレデンシャルスタッフィングまたはブルートフォース攻撃により侵害されました
- 漏洩したデータには氏名、メールアドレス、電話番号、支払いカードの下4桁、アカウント情報が含まれます
- 顧客にはパスワードのリセット、2要素認証の有効化、詐欺被害防止のための信用情報の監視が推奨されています
ギャンブル会社DraftKingsは、一部のユーザーのアカウントがハッキングされ、保存されていた機密データの一部にアクセスされたと警告しました。
マサチューセッツ州公式ウェブサイトに掲載されたデータ漏洩通知書で、DraftKingsは自社システムが侵害されたわけではなく、2025年9月2日に発生したクレデンシャルスタッフィングまたはブルートフォース攻撃によるものだと説明しています。
「DraftKings以外の情報源からログイン認証情報を盗み出し、この攻撃で使用したことにより、悪意のある第三者が一時的に一部のDraftKings顧客のアカウントにログインできた可能性があります」と通知書には記されています。「重要なのは、これまでの調査で、あなたのログイン認証情報がDraftKingsから取得された、またはDraftKingsのコンピューターシステムやネットワークが本件で侵害されたという証拠は確認されていません。」
「機密」情報は盗まれていない?
同社は、何人が影響を受けたか、または誰が攻撃したかについては明らかにしていません。漏洩したデータには、氏名、生年月日、電話番号、メールアドレス、支払いカードの下4桁、プロフィール写真、過去の取引情報、アカウント残高、最後にパスワードを変更した日付が含まれます。
これは非常に多くの情報であり、さまざまな悪意のある方法で利用される可能性があります。攻撃者はこれを金融詐欺、なりすまし、アカウント乗っ取り、標的型フィッシング、SIMスワップ攻撃、ソーシャルエンジニアリング、最終的には恐喝などに利用できます。
DraftKingsは、「政府発行のID番号、完全な金融口座番号、またはなりすまし被害や顧客の銀行口座へのアクセスを可能にするその他の情報」といった「機密」顧客情報にはアクセスされていないと強調しています。
現在、顧客にはログイン認証情報のリセット、2要素認証の設定、追加のセキュリティ対策の実施を呼びかけています。また、アカウントや信用情報の確認、セキュリティ凍結や詐欺アラートの設定も検討するよう求めています。
