Tiener steelt 600.000 dollar via credential stuffing-aanval op goksite
Een 19-jarige Amerikaanse man heeft bekend dat hij door middel van een credential stuffing-aanval 600.000 dollar van goksite DraftKings heeft gestolen, zo hebben de Amerikaanse autoriteiten bekendgemaakt. Eind vorig jaar werd DraftKings slachtoffer van een credential stuffing-aanval.
Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Via de aanval werd er toegang tot zo'n 60.000 accounts verkregen. Vervolgens werd van zo'n 1600 gebruikers het geld buitgemaakt dat deze gebruikers in hun account hadden. DraftKings stelde in eerste instantie dat het om 300.000 dollar ging, maar volgens de procureur-generaal in deze zaak betreft het een bedrag van 600.000 dollar. DraftKings besloot getroffen gebruikers schadeloos te stellen.
Begin dit jaar vond er een huiszoeking bij de verdachte plaats. Op zijn computer werden software en zevenhonderd configuratiebestanden aangetroffen voor het uitvoeren van credential stuffing-aanvallen, alsmede veertig miljoen paren van gebruikersnamen en wachtwoorden. Daarnaast troffen agenten op zijn telefoon gesprekken aan met handlangers over het aanvallen van de goksite en stelen van geld. De tiener heeft nu bekend schuldig te zijn aan computervredebreuk, waarop een gevangenisstraf van maximaal vijf jaar staat.
Als iedere site gewoon [zelf usernamen kiest of] de gebruiker dwingt een unieke naam te kiezen met alleen letters en cijfers is de kans veel kleiner dat aanvalles er in slagen om deze onderling tussen sites te matchen en daarmee "hergebruik van wachtwoorden" af te straffen.
Dit zijn gewoon script/wp kiddies, weten niets van computers
internet aan sommige geven is vragen om problemen (zoals dit gokbedrijf wat de meest basale beveiligingszaken NIET op orde had... als je 60.000 accounts kunt leeghalen, doe je toch echt iets fout...
het zou toch moeten opvallen als er meer dan 3 accounts op 1 IP adres een foutief wachtwoord invoeren, of zelfs een correct wachtwoord. laat staan 60.000... want ik neem aan dat niet altijd de eerste inlogpoging succesvol was.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.