【憑證攻擊】美國博彩公司DraftKings 逾6.7萬用戶數據遭洩露
足球盛事剛過,球迷在這一個月投入賽事氣氛,有人更會下注小賭怡情。但美國體育博彩公司 DraftKings 早前就發現 11 月時發生憑證攻擊後,超過 67,000 名客戶的個人資料被洩露,而涉事攻擊者則以 10 到 35 美元的價格售賣部份被盜帳戶。
在相關攻擊中,發動者以自動化工具進行大規模攻擊,每次發動多達數百萬次攻擊,並使用從其他在線上服務中所竊取的憑據,包括用戶名稱及密碼嘗試登入帳戶。這種攻擊方法針對總是在不同平台中,重複使用相同登入名稱及密碼的用戶,可說是非常有效。
攻擊者的目的是控制更多帳戶,以竊取個人和財務資訊,並將之放在黑客論壇或暗網上兜售。這些用戶憑證亦能被利用作身份盜竊詐騙,如未經授權的交易,或竊取銀行帳戶的資金。
在數據洩露報告可見,DraftKings 指在上個月的事件中,總共有 67,995 人的數據被洩露,這些攻擊者從 DraftKings 以外的源頭,取得登入客戶帳戶所需的憑據。報告指出,如果一個帳戶被登入,攻擊者可能查看了帳戶持有人的姓名、地址、電話號碼、電子郵件地址、信用卡的最後四位數字、個人資料照片、有關先前交易的資訊、帳戶餘額,以及最後日期更改密碼日子。
但報告強調,目前沒證據表明攻擊者已獲社會安全號碼、駕駛執照號碼或金融帳戶資料;另亦指出,信用卡最後四位數字雖有機會被看到,但完整卡號、到期日期和 CVV 並未存儲在帳戶當中。
在檢測到攻擊後,DraftKings 重置受影響帳戶密碼,並表示已實施額外欺詐警報措施。DraftKings 總裁兼聯合創始人 Paul Liberman 去年 11 月曾說,歸還了因憑證攻擊而被提取的資金,退款至少 300,000 美元。
被劫持的用戶帳戶的共同遭遇是先被存入 5 美元,然後更改密碼,在不同的電話號碼上啟用雙因素身份驗證(2FA),然後從受害者的關聯銀行帳戶中提取資金。雖然目前 DraftKings 沒有分享更多關於攻擊者如何竊取資金的資訊,但 BleepingComputer 從中發現,該攻擊者在線上市場上以 10 到 35 美元的價格出售帶有存款餘額的被盜帳戶,銷售內容包括有關買家如何存入 5 美元,並從帳戶中提取所有資金的說明。
在 DraftKings 宣布遭受攻擊後,他們鎖定被入侵的帳戶,被警告威脅參與者他們的活動已不再奏效。DraftKings 建議客戶永遠不要對多項線上服務使用相同密碼、永遠不要與第三方平台分享他們的憑證,並立即在帳戶上開啟 2FA 功能,刪除詳細銀行資料,或取消連接銀行帳戶,以阻欺詐性取款請求。
相關文章:【開心share】twitter 540萬用家私隱曝光 名人明星電話號碼免費睇
