Casi 70.000 personas que suelen realizar apuestas deportivas y jugar a competiciones de fantasy sports se verían afectadas por una filtración de datos sufrida por la empresa estadounidense DraftKings en noviembre. En concreto han sido 67.995 usuarios afectados, según ha trasladado esta al Fiscal General de Maine.
DraftKings afirma que el problema no se dio a través de un acceso no autorizado a sistemas, sino que se produjo por un ataque de relleno de credenciales. En estas amenazas los piratas reusan los nombres de usuario, emails y passwords que han obtenido del hackeo a otros servicios digitales, aprovechándose de que es común que los usuarios repitan la misma contraseña para distintas aplicaciones.
“Según la investigación que hemos realizado hasta la fecha, creemos que los atacantes pueden haber obtenido previamente acceso a su nombre de usuario o dirección de correo electrónico y contraseña de una fuente que no es de DraftKings y luego utilizaron esas credenciales para acceder a su cuenta de DraftKings”, ha explicado la empresa en una notificación enviada a los afectados.
La firma reconoce que podrían haberse filtrado datos sensibles, como nombres, direcciones, números de teléfono, direccione de email, fotos de perfil, saldo de la cuenta, los últimos cuatro dígitos de las tarjetas de pago, detalles sobre transacciones anteriores y la fecha del último cambio de contraseña.
Sin embargo, el proveedor de apuestas perjura que no se han filtrado datos como los números de la Seguridad Social, del carnet de conducir o de cuentas financieras, ya que no almacena los números completos de las tarjetas de débito o crédito, ni las fechas de vencimiento ni los CVV.
Justo después de tener constancia del incidente la compañía pidió a los clientes afectados que restablecieran su clave y estuvieran al tanto de sus cuentas e informes crediticios para localizar cualquier actividad sospechosa. No descartan que los cibermalos intenten alguna treta en el futuro con sus datos.
Devolviendo el dinero sustraído
Los ciberdelincuentes llegaron a retirar 300.000 dólares de algunas de las cuentas comprometidas. "Hemos restaurado cantidades que se han extraído de ciertas cuentas en relación al ataques de relleno de credenciales, según lo que hemos determinado e identificado", concluyen desde DraftKings.
DraftKings se fundó en 2012 y tiene su sede en Bostn. Su fantasy sports está disponible en media docena de países con 15 categorías deportivas distintas. Su web de apuestas concentra a 10 milones d de usuarios.