Hacker do DraftKings é condenado a prisão por vender contas roubadas

21 abr Hacker do DraftKings é condenado a prisão por vender contas roubadas

Posted at 18:00h in Tech-Pt-br by

Kamerin Stokes, de 23 anos, foi sentenciado a 30 meses de prisão por um tribunal federal de Nova York por sua participação em um ataque de credential stuffing contra a plataforma de apostas esportivas DraftKings em 2022.

Em novembro de 2023 Joseph Garrison assumiu culpado e cúmplice nos ataques de credential stuffing, e em janeiro do ano seguinte, foi sentenciado a 18 meses de prisão. A DraftKings confirmou que aproximadamente 68 mil contas foram comprometidas na investida.

Invasores acessaram contas da plataforma de fantasy sports e apostas esportivas DraftKings para sacar saldos das vítimas.

Ataque explorou o hábito de reutilizar senhas

Em novembro de 2022, Stokes e cúmplices executaram um ataque de credential stuffing contra a DraftKings. A técnica consiste em usar grandes volumes de combinações de usuário e senha obtidas em vazamentos anteriores, geralmente compradas em fóruns da dark web, para testar o acesso a outros serviços de forma automatizada.

Isso porque a maioria dos usuários reutiliza as mesmas credenciais em múltiplos sites, o que transforma dados roubados de uma plataforma em chave de entrada para diversas outras.

No caso da DraftKings, os invasores conseguiram acessar cerca de 60 mil contas com as credenciais compradas. A própria empresa, ao comunicar o incidente, estimou o total de contas comprometidas em aproximadamente 68 mil.

Ataque de credential stuffing comprometeu cerca de 68 mil contas da DraftKings em novembro de 2022.

Saques diretos das contas das vítimas

O esquema não parava no acesso. Depois de assumir o controle de uma conta, os invasores adicionavam um novo método de pagamento e depositavam um valor pequeno para validá-lo. Em seguida, sacavam o saldo completo para contas sob seu controle.

Stokes ficou responsável por comercializar o acesso a essas contas. Ele operava um shop online próprio sob o apelido “TheMFNPlug”, onde vendia o login de contas da DraftKings com saldo disponível. O volume total movimentado por ele na plataforma ultrapassou US$ 125 mil.

Reabriu a loja mesmo após se declarar culpado

O que distingue o caso de Stokes é o que aconteceu depois da prisão. Mesmo após firmar um acordo de culpa com a Justiça, ele reativou a operação, desta vez expandindo o catálogo para credenciais roubadas de diversas outras plataformas, não apenas a DraftKings. O slogan adotado era direto: “fraude é divertido”.

Kamerin Stokes foi sentenciado pelo juízo federal do Distrito Sul de Nova York.

Em depoimento, Stokes disse ao tribunal que mantinha esse tipo de atividade há anos e justificou a continuidade alegando precisar do dinheiro para pagar honorários advocatícios. A retomada das atividades violou as condições de sua liberdade, o que levou a uma nova prisão e à sua devolução à custódia antes mesmo da sentença definitiva.

Mais de US$ 1,4 milhão em penalidades

O juízo federal do Distrito Sul de Nova York, com sentença proferida pela juíza Naomi Reice Buchwald, impôs a Stokes uma pena de 30 meses de prisão, três anos de liberdade supervisionada, confisco de US$ 125.965,53 (cerca de R$ 626 mil na cotação atual) e pagamento de US$ 1.327.061 (R$ 6,4 mil) em reparação às vítimas, totalizando mais de US$ 1,4 milhão (R$ 6,9 milhões) entre multas e restituições.

O caso foi investigado pelo FBI, com anúncio feito pelo procurador Jay Clayton.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de tecnologia e segurança.