博彩公司遭黑客攻擊，67000賬戶被竊，損失超30萬！公司稱登錄信息由第三方泄露

12月19日，卡塔爾世界杯落幕，總決賽可以說是讓觀眾一直緊繃神經。

梅西帶領的阿根廷隊與衛冕冠軍法國隊戰成三比三平，最終阿根廷隊通過點球大戰取勝，成為世界杯冠軍。

這是35歲的梅西第5次參加世界杯，也終于如愿捧回大力神杯。

這也是阿根廷隊歷史上第3次奪得世界杯冠軍，上一次是在1986年由已故“球王”馬拉多納帶隊奪冠。

有人歡喜有人憂。

比如姆巴佩的粉絲，臺灣就有這么一位工程師，直接****100萬買法國隊奪冠，結果可想而知。
除了心疼這位工程師朋友外，美國每日夢幻體育競賽和體育博彩公司DraftKings的用戶們最近也不怎么太平。

在一封12月16日的信中，有67,995用戶的個人詳細信息因違規而暴露給黑客，而上個月在另一起暴力黑客攻擊中，一些特定賬戶還遭受到了不小的經濟打擊。
公司表示，用戶的帳戶名稱、地址、電話號碼、電子郵件地址等都有被泄露和記錄的風險。此外，黑客還可以訪問用戶的個人資料照片、余額和支付卡的最后四位數字。
不過公司也說到，完整的個人卡號以及CVV代碼和到期日期并未存儲在主賬戶頁面上。

泄露不來自DraftKings內部？

事情發生在一個平凡的周日。

當Justin White在度假時，妻子Lisa注意到他們的****賬戶不對勁，存在連續5次****500美元的記錄。

****記錄來自“DRAFTKINGS INC. BOSTON, MA”。

而且這是直接從“用于存款的****中提出來的”，隨后White數次嘗試登錄自己的DraftKings賬戶，都沒能成功。

于是他迅速申請修改了密碼，也就是在那個時候，White意識到自己的賬號可能被黑了。

登上賬號修改了登錄信息后，White嘗試聯系DraftKings的客服，但是最終他只是被要求填寫一份承諾會回復他的表格。

DraftKings聯合創始人Paul Liberman在一份聲明中表示，大約有30萬美元的客戶資金受到影響，公司準備“補償所有受到影響的用戶”。

Liberman說到，“我們目前認為，這些客戶的登錄信息是在其他網站上被泄露的，只是這些登錄信息和DraftKings登錄信息是一樣的”，“我們沒有看到任何證據表明DraftKings的系統遭到破壞”。

最近，公司發言人James Chrisholm在一封郵件中寫到，公司“在需要的司法管轄區向某些客戶提供了關于憑證填充攻擊的正式通知”，DraftKings也已經向所有受影響的用戶補償了損失的金額。同時重申到，目前仍然“沒有證據”表明登錄信息的泄露是來自DraftKings內部。

黑客還出了個教程，相關攻擊逐漸增多

也就是說，黑客的攻擊也是有跡可循的。這些被攻擊的賬戶的共同點都是從5美元存款開始，然后更改密碼，在不同的電話號碼上啟用雙因素認證（2FA），然后盡可能地從這些賬戶的鏈接****中****。
DraftKings將這次黑客攻擊稱為“憑據沖浪攻擊”（credential surfing attack），是由從“第三方來源”獲得的用戶名和密碼造成的。該公司暗示，這次攻擊是由于用戶在不同的網站上應用了相同的用戶名和密碼，然后被用來訪問DraftKings的賬戶。
在這類蠻力黑客攻擊中，惡意行為者會使用垃圾郵件工具，使用從外部來源找到的密碼，一次進行數百萬次登錄嘗試。
在DraftKings宣布憑證填充攻擊后，他們鎖定了被攻擊的賬戶，威脅者警告說他們的活動已不再有效。

DraftKings建議用戶不要在多個在線服務中使用同一個密碼，不要與第三方平臺分享他們的憑證，同時立即在他們的賬戶上打開2FA，刪除****信息或解除****賬戶的鏈接，以阻止未來的欺詐性****請求。
正如聯邦調查局最近警告的那樣，由于容易獲得的自動化工具和泄露的憑證的匯總清單，憑證填充攻擊的數量正在迅速增長。
9月，身份和訪問管理公司Okta報告說，今年情況尤其嚴峻。公司在今年前三個月就記錄了超過100億次的憑證填充事件，這相當于Okta跟蹤的整體認證流量的大約34%，這意味著每三次登錄嘗試中就有一次是惡意的和欺詐性的。
競爭對手體育博彩應用程序FanDuel也注意到，對系統的黑客攻擊次數在近幾個月有顯著增加。
但是問題來了，在不同平臺上設置了不同的密碼，忘記了怎么辦？
相關報道：

https://gizmodo.com/draftkings-hackers-sports-gambling-1849911810

https://www.bleepingcomputer.com/news/security/draftkings-warns-data-of-67k-people-was-exposed-in-account-hacks/

https://www.actionnetwork.com/legal-online-sports-betting/draftkings-users-hacked-money-in-account-cashed-out