Man gets 30 months for selling thousands of hacked DraftKings accounts
Mis à jour :
Condamnation pour trafic de comptes piratés sur DraftKings
Un habitant du Tennessee de 23 ans, Kamerin Stokes, a été condamné à 30 mois de prison pour la revente de milliers de comptes DraftKings piratés. Cette affaire découle d’une attaque massive par “credential stuffing” survenue en novembre 2022, compromettant près de 68 000 comptes et permettant le vol d’environ 635 000 $. Stokes, récidiviste ayant rouvert ses activités illégales après son inculpation initiale, devra verser plus de 1,4 million de dollars en restitutions et saisies.
Points clés :
- Mode opératoire : Utilisation de listes d’identifiants volés lors de fuites de données antérieures pour accéder frauduleusement aux comptes (Credential Stuffing).
- Méthode de fraude : Une fois le compte compromis, les attaquants ajoutaient une nouvelle méthode de paiement avec un dépôt minimal pour valider le compte, puis retiraient l’intégralité des fonds disponibles.
- Envergure : Environ 68 000 comptes compromis, dont 1 600 ont été directement utilisés pour dérober de l’argent.
- Implications judiciaires : Stokes a été arrêté une seconde fois après avoir repris ses activités frauduleuses sous le slogan “fraud is fun” durant sa période de liberté conditionnelle.
Vulnérabilités :
- Credential Stuffing : L’attaque repose sur la réutilisation massive de mots de passe par les utilisateurs sur différents services (aucune CVE spécifique liée au logiciel, mais une faille de sécurité liée à l’hygiène des mots de passe).
Recommandations :
- Authentification multifacteur (MFA) : Activer systématiquement la double authentification pour empêcher l’accès aux comptes, même en cas de vol de mots de passe.
- Gestion des mots de passe : Utiliser des mots de passe uniques et complexes pour chaque service en ligne via un gestionnaire de mots de passe.
- Surveillance des comptes : Les plateformes doivent renforcer la détection des anomalies (changements soudains de méthodes de paiement, connexions depuis des localisations inhabituelles) pour bloquer les tentatives de fraude automatisées.