Een 21-jarige Amerikaanse man heeft bekend dat hij in 2022 een credential stuffing-aanval op goksite DraftKings heeft uitgevoerd, waarbij zo'n 60.000 accounts via hergebruikte wachtwoorden werden gehackt. De gehackte accounts werden vervolgens voor een paar dollar per stuk op internet te koop aangeboden.

Bij een credential stuffing-aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven geen maatregelen tegen geautomatiseerde aanvallen nemen.

Via de aanval die eind 2022 plaatsvond werd er toegang tot zo'n 60.000 accounts verkregen. Vervolgens werd van zo'n 1600 gebruikers het geld buitgemaakt dat deze gebruikers in hun account hadden. Het ging om een bedrag van zo'n 600.000 dollar. De gecompromitteerde DraftKings-accounts werden op verschillende websites te koop aangeboden.

De FBI wist toegang tot chats van de verdachte te krijgen, waarin die opmerkt dat de autoriteiten een onderzoek naar de aanval zijn gestart. De Amerikaan werd begin vorig jaar door de autoriteiten aangehouden. Hij heeft bekend schuldig te zijn aan samenzwering tot computervredebreuk, waarop een gevangenisstraf van maximaal vijf jaar staat. De rechter zal op 10 april volgend jaar vonnis wijzen.