Giovane hacker truffa utenti DraftKings, colpo da $600mila
È stato un ragazzo di 18 anni, Joseph Garrison, cittadino del Wisconsin, a condurre un vasto attacco hacker che – lo scorso novembre – ha consentito di violare 300mila account di utenti DraftKings. E sostanzialmente lo ha fatto per sfida, anche se poi questa truffa ha consentito di svuotare circa 1.600 conti di gioco. Non è chiaro a quanto ammonti esattamente del bottino, inizialmente si parlava di 300mila dollari, adesso il bilancio sembra molto più alto, addirittura 600mila dollari.
Tre mesi per individuare il colpevole
L’attacco hacker è partito nel novembre dell’anno scorso, gli inquirenti tuttavia sembrano aver individuato il responsabile abbastanza facilmente. Già a febbraio infatti hanno effettuato una perquisizione nella casa del ragazzo. E hanno trovato diversi software usati per attuare attacchi hacker su larga scala, tra cui OpenBullet e SilverBullet.
Gli uomini coordinati dal Dipartimento di Giustizia e il Procuratore Generale degli Stati Uniti hanno vagliato anche il contenuto di alcune chat. Il ragazzo scriveva di trovare molto divertente questo tipo di frode, di essere certo che non sarebbe mai stato scoperto, e di voler colpire proprio i bookmaker, per l’attività che svolgono. Adesso dovrà rispondere di diversi capi di imputazione, e rischia fino a venti anni di prigione.
Alla base di tutto un’ingenuità degli utenti
I dettagli della truffa non sono stati diffusi nei dettagli, secondo alcune fonti il ragazzo ha usato la tecnica del credential stuffing attack, che funziona quando gli utenti usano lo stesso username e la stessa password per parire account differenti. In sostanza, Garrison è entrato in possesso di un elenco di account a rischio usati su altri siti, e ha verificato se le stesse credenziali consentissero di accedere anche a un conto di gioco di DraftKings.
Ancora da individuare i complici
Secondo gli inquirenti, però, il ragazzo non ha svuotato direttamente i conti di gioco, anche se ha avuto comunque un ruolo fondamentale nella truffa. Ha venduto a sua volta la lista degli account compromessi, e ha spiegato agli acquirenti, che per il momento non sono stati individuati, come incassare le somme depositate.
Gli altri truffatori hanno sostituito i dati dei conti corrente bancari, quelli personali che ogni giocatore utilizza per ricaricare il conto di gioco e incassare le vincite. Hanno effettuato dei depositi di pochi dollari per validare la modifica, e a quel punto hanno potuto svuotare i conti gioco in modo indisturbato.
Nessuna colpa, ma DraftKings risarcisce i giocatori
Garrison avrebbe provato a usare lo stesso stratagemma anche nei confronti degli utenti di FanDuel, ma il bookmaker ha sottolineato che “I sistemi di data protection che abbiamo impiegato evidentemente hanno fatto il proprio dovere”.
Tecnicamente nemmeno i sistemi di DraftKings sono stati violati, il bookmaker lo aveva sottolineato immediatamente a novembre, quando la truffa è stata compiuta. E aveva sottolineato anche che è buona norma non usare le stesse credenziali per accedere a account differenti. Eppure la vicenda deve comunque aver creato un certo imbarazzo, visto che DrafKings ha preferito restituire alle vittime i soldi rubati.