In de Verenigde Staten is een achttienjarige Amerikaan aangeklaagd voor een credential stuffing-aanval op gokplatform DraftKings, waarmee hij toegang zou hebben gekregen tot 68.000 accounts. Indien schuldig kan hij worden veroordeeld tot een gevangenisstraf van tientallen jaren. Eind vorig jaar werd DraftKings slachtoffer van een credential stuffing-aanval. Hierbij worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen.

Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Via de aanval werd er toegang tot 68.000 accounts verkregen. Vervolgens werd het geld buitgemaakt dat deze gebruikers in hun account hadden.

Volgens de procureur-generaal wisten de verdachte en zijn handlangers zo'n 600.000 dollar van zo'n zestienhonderd accounts te stelen. DraftKings besloot getroffen gebruikers schadeloos te stellen. Begin dit jaar vond er een huiszoeking bij de verdachte plaats. Op zijn computer werden software en zevenhonderd configuratiebestanden aangetroffen voor het uitvoeren van credential stuffing-aanvallen. Daarnaast troffen agenten op zijn telefoon gesprekken aan met handlangers over het aanvallen van de goksite en stelen van geld.

De Amerikaan is aangeklaagd voor ongeautoriseerde toegang tot een beveiligde computer met de intentie om fraude te plegen, computervredebreuk, ongeautoriseerde toegang tot een beveiligde computer, identiteitsdiefstal, "wire fraud" en samenzwering tot het plegen van wire fraud. Op deze laatste twee aanklachten staat elk een gevangenisstraf van maximaal twintig jaar.