A DraftKings, uma gigante norte-americana de apostas desportivas, confirmou ter sido alvo de um novo ataque informático, resultando na exposição dos dados de um número ainda não revelado de clientes. A empresa, parceira oficial de várias ligas desportivas como a NFL e a NBA, revelou que os atacantes conseguiram aceder a várias contas através de uma campanha de credential stuffing.
Este tipo de ataque não explora uma falha direta nos sistemas da empresa, mas sim o mau hábito dos utilizadores de reutilizarem as mesmas palavras-passe em diferentes serviços online. Os hackers utilizam listas de credenciais roubadas de outras plataformas e testam-nas em massa na DraftKings, conseguindo entrar nas contas de quem repete as suas passwords.
Que dados foram comprometidos?
De acordo com as cartas de notificação sobre a violação de dados enviadas aos clientes afetados, os atacantes podem ter tido acesso a um conjunto limitado de informações pessoais. A lista inclui nome, morada, data de nascimento, número de telemóvel, endereço de e-mail e os últimos quatro dígitos de um cartão de pagamento.
Além disso, a foto de perfil, o histórico de transações, o saldo da conta e a data da última alteração da palavra-passe também podem ter sido visualizados.
A DraftKings fez questão de sublinhar que dados mais sensíveis, como números de identificação governamental ou números completos de contas financeiras, não foram expostos. Isto significa que os atacantes não obtiveram informações que lhes permitissem aceder diretamente às contas bancárias dos utilizadores ou cometer roubo de identidade.
A resposta da DraftKings e os conselhos aos utilizadores
Como medida de precaução, a empresa vai exigir que os clientes potencialmente afetados redefinam a sua palavra-passe. Para os utilizadores do serviço DK Horse, será também obrigatória a ativação da autenticação multifator, uma camada extra de segurança que dificulta acessos não autorizados.
A DraftKings aconselha ainda todos os seus clientes a alterarem as suas palavras-passe, a reverem atentamente os seus extratos bancários e relatórios de crédito, e a configurarem alertas de fraude como forma de prevenção contra atividades maliciosas.
Um historial de ataques repetidos
Esta não é a primeira vez que a DraftKings enfrenta um incidente de segurança desta natureza. Em novembro de 2022, a empresa foi alvo de uma campanha de credential stuffing semelhante, que resultou no roubo de até 300.000 dólares das contas de quase 68.000 clientes. Na altura, a DraftKings acabou por reembolsar todos os utilizadores afetados.
O incidente volta a destacar os perigos da reutilização de palavras-passe e a importância de adotar medidas de segurança robustas em todas as plataformas online.
Nenhum comentário
Seja o primeiro!