La empresa de apuestas deportivas DraftKings ha compartido más detalles sobre la reciente violación de cuenta que sufrió.
A fines de noviembre, el cofundador y presidente de la compañía, Paul Liberman, recurrió a Twitter para anunciar un incidente de seguridad después de que un actor de amenazas aparentemente usó el relleno de credenciales para intentar iniciar sesión en las cuentas de DraftKings de las personas.
Los delincuentes tuvieron éxito en miles de casos y terminaron sacando más de $ 300,000 de las cuentas de las personas, aunque DraftKings desde entonces ha reembolsado a los clientes afectados.
No hay información de tarjeta de crédito robada
Ahora, en una notificación de incumplimiento presentada ante la oficina del Fiscal General Principal, la compañía dijo que un total de 67,995 personas han visto comprometidas sus cuentas.
DraftKings dijo que el actor de amenazas obtuvo la información de inicio de sesión en otro lugar y la probó contra las cuentas en su plataforma. El ataque fue un éxito no debido a DraftKings, sino a que sus usuarios tenían malas prácticas de seguridad y usaban las mismas contraseñas en múltiples servicios.
El documento también detalla el tipo de información a la que se accedió durante el incidente, lo que demuestra que el robo de identidad (se abre en una pestaña nueva) y los ataques de suplantación de identidad podrían ocurrir en un futuro próximo:
«En caso de que se haya accedido a una cuenta, entre otras cosas, el atacante podría haber visto el nombre del titular de la cuenta, la dirección, el número de teléfono, la dirección de correo electrónico, los últimos cuatro dígitos de la tarjeta de pago, la foto de perfil, información sobre transacciones anteriores, el saldo de la cuenta y última fecha de cambio de contraseña», afirma el anuncio.
«En este momento, no hay evidencia de que los atacantes hayan accedido a su número de Seguro Social, número de licencia de conducir o número de cuenta financiera.
«Si bien los delincuentes pueden haber visto los últimos cuatro dígitos de su tarjeta de pago, el número completo de su tarjeta de pago, la fecha de vencimiento y su CVV no se almacenan en su cuenta».
Además de reembolsar el dinero a los clientes afectados, DraftKings también restableció las cuentas de las personas e introdujo nuevas alertas de fraude. También instó a sus usuarios a usar contraseñas únicas para sus cuentas en línea, activar la autenticación multifactor (MFA) siempre que sea posible y nunca compartir sus credenciales de inicio de sesión con terceros.
Vía: BleepingComputer (se abre en una pestaña nueva)