En DraftKings-hacker er blevet idømt 18 måneders fængsel for at have deltaget i et omfattende credential stuffing-angreb, som kompromitterede tusindvis af kundekonti. Nathan Austad, der brugte aliaset “Snoopy”, erkendte sin rolle i cyberangrebet i 2022, som førte til tyveri af penge og videresalg af kompromitterede konti. Sagen viser, hvordan genbrug af adgangskoder fortsat udgør en alvorlig trussel mod spil- og bettingplatforme.
Hacker erkendte sin rolle i DraftKings-angrebet
Nathan Austad, en 21-årig mand fra Minnesota, erklærede sig skyldig i december 2025 i sammensværgelse om ulovlig adgang til computersystemer.
Anklagemyndigheden oplyste, at han samarbejdede med flere medgerningsmænd om at kompromittere omkring 60.000 DraftKings-konti.
Under angrebet tilføjede gruppen betalingsmetoder, de selv kontrollerede, til cirka 1.600 kompromitterede konti. Derefter stjal de omkring 600.000 dollar fra de berørte brugere.
DraftKings driver en af USA’s største platforme for fantasy sports og online sportsbetting. Brugerne deltager i fantasy-konkurrencer og placerer væddemål via personlige konti, som ofte indeholder betalingsoplysninger.
Credential stuffing muliggjorde angrebet
Cyberangrebet fandt sted i november 2022 ved hjælp af en credential stuffing-kampagne.
I stedet for at udnytte en sikkerhedssårbarhed hos DraftKings anvendte angriberne brugernavne og adgangskoder, som tidligere var blevet stjålet ved andre databrud.
Mange brugere genbruger de samme adgangskoder på tværs af flere onlinetjenester. Cyberkriminelle udnytter denne vane ved at teste lækkede loginoplysninger på populære hjemmesider, indtil de finder konti, der virker.
DraftKings oplyste først, at der var blevet stjålet mindre end 300.000 dollar. Senere bekræftede virksomheden, at 67.995 kundekonti var blevet kompromitteret under angrebet.
Hændelsen viser, hvordan genbrug af adgangskoder fortsat skaber betydelige sikkerhedsrisici for både virksomheder og brugere.
Kompromitterede konti blev solgt online
Føderale efterforskere oplyste, at Austad drev en online markedsplads, hvor adgang til kompromitterede konti blev solgt videre.
Han benyttede også andre kriminelle platforme til at distribuere stjålne loginoplysninger.
Ifølge det amerikanske justitsministerium var hans butik opkaldt efter tegneseriefiguren Snoopy, som også inspirerede hans online-alias.
Efterforskerne fandt desuden beskeder, hvor Austad diskuterede svindel med andre medlemmer af gruppen og advarede dem om at forberede sig på myndighedernes opmærksomhed.
Myndighederne sporede kryptovaluta til en værdi af omkring 465.000 dollar til konti, som Austad kontrollerede.
Selvom myndighederne ikke oplyste, hvor meget han tjente på salget af kompromitterede konti, blev kryptovalutaen et vigtigt element i efterforskningen.
Myndighederne fortsætter kampen mod cyberkriminalitet
Efterforskningen af DraftKings-angrebet har ført til flere domfældelser.
Joseph Garrison blev det første medlem af gruppen, der modtog en dom på 18 måneders fængsel i januar 2024.
Senere rejste anklagemyndigheden tiltale mod flere mistænkte, herunder Kamerin Stokes, kendt online som “TheMFNPlug”, og Nathan Austad.
Stokes blev idømt 30 måneders fængsel i april 2026 for sin rolle i sagen.
De mange domfældelser viser, at de amerikanske myndigheder fortsætter indsatsen mod cyberkriminelle grupper, som tjener penge på stjålne loginoplysninger, kontoovertagelser og online svindel.
Retten pålagde også erstatning
Ud over fængselsstraffen skal Austad være under tilsyn i tre år efter sin løsladelse.
Retten beordrede ham desuden til at afgive 463.684 dollar og betale mere end 1,3 millioner dollar i erstatning for at kompensere ofrene og tilbageføre udbyttet fra den kriminelle aktivitet.
De økonomiske sanktioner viser, at cyberkriminelle kan møde alvorlige konsekvenser ud over fængselsstraf, når myndighederne lykkes med at spore de stjålne aktiver.
Konklusion
Sagen mod DraftKings-hackeren viser endnu en gang, at credential stuffing fortsat er en effektiv angrebsmetode, når brugere genbruger de samme adgangskoder på flere tjenester.
Selvom myndighederne har fået dømt flere medlemmer af gruppen, førte angrebet til kompromittering af titusindvis af kundekonti og betydelige økonomiske tab.
Unikke adgangskoder til hver tjeneste og multifaktorgodkendelse er fortsat blandt de mest effektive måder at beskytte sig mod kontoovertagelser på.


0 svar til “DraftKings-hacker idømt 18 måneders fængsel for kontobrud”