Le géant des paris sportifs DraftKings a informé un nombre non divulgué de clients que leurs comptes avaient été piratés lors d’une récente vague d’attaques de bourrage d’identifiants.
DraftKings, une société de jeux d’argent basée à Boston et fondée en 2012, fournit des services de paris sportifs et de sports fantastiques quotidiens (DFS) et est un partenaire officiel de la NFL, de la LNH, du PGA TOUR, de la WNBA, de l’UFC et de la NASCAR. DraftKings emploie plus de 5 100 personnes et a déclaré un chiffre d’affaires de 4,77 milliards de dollars à la fin de 2024.
Dans des lettres de notification de violation de données envoyées le jeudi 2 octobre, DraftKings a informé les clients concernés que les attaquants avaient eu accès à leurs comptes et à une « quantité limitée » de leurs données lors d’attaques qui portaient tous les signes d’une campagne de bourrage d’informations d’identification.
Le bourrage d’informations d’identification implique que les attaquants utilisent des outils automatisés pour violer les comptes d’utilisateurs avec des paires nom d’utilisateur/mot de passe volées à partir d’autres services en ligne, une tactique particulièrement efficace contre ceux qui réutilisent les informations d’identification sur plusieurs plates-formes. Les acteurs de la menace visent à s’emparer de comptes pour voler des informations personnelles et financières, qui peuvent ensuite être vendues sur le Dark Web ou utilisées pour le vol d’identité et d’autres fins malveillantes.
Cependant, la société a déclaré que les attaquants n’avaient pas accédé à des données sensibles telles que « des numéros d’identification émis par le gouvernement, des numéros de compte financier complets » ou d’autres informations qui leur auraient permis de violer les comptes bancaires des clients ou de commettre un vol d’identité.
« En volant les identifiants de connexion d’une source non-DraftKings et en les utilisant dans cette attaque, cependant, le mauvais acteur a peut-être temporairement pu se connecter aux comptes de certains clients de DraftKings », a déclaré DraftKings.
« En cas d’accès à votre compte, l’attaquant a peut-être pu voir votre nom, adresse, date de naissance, numéro de téléphone, adresse e-mail, les quatre derniers chiffres d’une carte de paiement, photo de profil, informations sur les transactions antérieures, solde du compte, et la date de la dernière modification de votre mot de passe. »
En réponse à ces attaques, la société demandera aux clients potentiellement concernés de réinitialiser leurs mots de passe de compte DraftKings et d’activer l’authentification multifacteur pour les connexions aux comptes DK Horse.
DraftKings a également conseillé aux clients de modifier les mots de passe de leur compte, d’examiner leurs comptes bancaires et leurs rapports de solvabilité, de geler la sécurité de leurs rapports de solvabilité et de configurer des alertes de fraude sur leurs dossiers de crédit par mesure de précaution.
Un porte-parole de DraftKings n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée.
DraftKings a également révélé en novembre 2022 que jusqu’à 300 000 $avaient été volés sur des comptes piratés lors d’une autre campagne de bourrage d’informations d’identification. Un mois plus tard, la société de paris sportifs a remboursé des centaines de milliers de dollars à 67 995 clients dont les comptes avaient été piratés lors de l’incident.
Le FBI a averti pendant des années que les attaques de bourrage d’informations d’identification constituaient une menace de plus en plus importante en raison des listes agrégées facilement disponibles d’informations d’identification divulguées et d’outils automatisés.