Хакер #305. Многошаговые SQL-инъекции
Компания DraftKings, занимающаяся спортивными ставками, сообщила, что ее клиенты пострадали от атак типа credential stuffing. Общий размер потерь пользователей оценивается в 300 000 долларов США. При этом в DraftKings подчеркивают, что ее собственные системы не были взломаны.
Напомню, что термином credential stuffing обычно обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются на других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.
В начале текущей недели представители DraftKings сообщили, что расследуют сообщения клиентов (1, 2, 3, 4), которые столкнулись со взломами аккаунтов. Судя по всему, все взломанные учетные записи объединяло одно: внесение первоначального депозита в размере 5 долларов США, после чего злоумышленники меняли пароль, подключали двухфакторную аутентификацию для другого телефонного номера и снимали как можно больше денег с привязанного в аккаунту банковского счета.
Некоторые жертвы также сетовали, что им не удалось связаться ни с кем из сотрудников DraftKings и приходилось наблюдать, как злоумышленники в несколько заходов опустошают их банковские счета.
«В настоящее время мы считаем, что учетные данные этих клиентов были скомпрометированы на других сайтах, а затем использованы для доступа к их учетным записям DraftKings, где они использовали те же данные для входа», — сообщает президент и соучредитель DraftKings Пол Либерман. — Мы не обнаружили никаких доказательств того, что системы DraftKings были взломаны для получения этой информации. Мы выявили, что средства пострадавших клиентов составляют менее 300 000 долларов, и намерены возместить ущерб для всех пострадавших».
Компания посоветовала клиентам не использовать одни и те же пароли для разных сайтов и сервисов, а также никогда не делиться своими учетными данными со сторонними платформами, включая трекеры и приложения для ставок (помимо тех, которые предоставляются DraftKings).
Пользователям, которым не затронули эти атаки, рекомендуется немедленно включить 2ФА для своих учетных записей и удалить все банковские реквизиты (или отвязать банковские счета от учетных записей, чтобы заблокировать мошеннические запросы на снятие средств).
Как отмечает издание The Record, при этом в социальных сетях можно обнаружить сообщения сотен пострадавших, которые утверждают, что использовали уникальные пароли и никому их не передавали.