Ein DraftKings-Hacker ist zu 18 Monaten Haft verurteilt worden, weil er an einer groß angelegten Credential-Stuffing-Attacke beteiligt war, bei der Tausende Kundenkonten kompromittiert wurden. Nathan Austad, der unter dem Alias „Snoopy“ agierte, gestand seine Beteiligung an dem Cyberangriff aus dem Jahr 2022, bei dem Geld gestohlen und gehackte Konten weiterverkauft wurden. Der Fall zeigt, dass Angriffe mit wiederverwendeten Zugangsdaten weiterhin eine erhebliche Gefahr für Wett- und Glücksspielplattformen darstellen.

Hacker gestand Beteiligung am DraftKings-Angriff

Der 21-jährige Nathan Austad aus Minnesota bekannte sich im Dezember 2025 der Verschwörung zum unbefugten Eindringen in Computersysteme schuldig.

Nach Angaben der Staatsanwaltschaft arbeitete er mit mehreren Komplizen zusammen, um rund 60.000 DraftKings-Kundenkonten zu kompromittieren.

Während des Angriffs hinterlegte die Gruppe auf etwa 1.600 kompromittierten Konten eigene Zahlungsmethoden. Anschließend stahl sie rund 600.000 US-Dollar von den betroffenen Nutzern.

DraftKings betreibt eine der größten Plattformen für Fantasy Sports und Online-Sportwetten in den USA. Nutzer nehmen dort an Fantasy-Wettbewerben teil und platzieren Wetten über persönliche Konten, die häufig Zahlungsinformationen enthalten.

Credential Stuffing ermöglichte den Angriff

Der Cyberangriff fand im November 2022 im Rahmen einer Credential-Stuffing-Kampagne statt.

Anstatt eine Sicherheitslücke bei DraftKings auszunutzen, verwendeten die Angreifer Benutzernamen und Passwörter, die zuvor bei anderen Datenlecks gestohlen worden waren.

Viele Nutzer verwenden dieselben Passwörter für mehrere Online-Dienste. Cyberkriminelle nutzen diese Gewohnheit aus, indem sie geleakte Zugangsdaten so lange auf bekannten Plattformen testen, bis sie funktionierende Konten finden.

DraftKings erklärte zunächst, dass weniger als 300.000 US-Dollar gestohlen worden seien. Später bestätigte das Unternehmen jedoch, dass 67.995 Kundenkonten während des Angriffs kompromittiert wurden.

Der Vorfall zeigt, dass die Wiederverwendung von Passwörtern sowohl für Unternehmen als auch für deren Kunden weiterhin ein erhebliches Sicherheitsrisiko darstellt.

Gestohlene Konten wurden online verkauft

Bundesermittler erklärten, dass Austad einen Online-Marktplatz betrieb, auf dem Zugänge zu kompromittierten Konten verkauft wurden.

Außerdem nutzte er weitere Untergrundplattformen, um gestohlene Zugangsdaten zu verbreiten.

Nach Angaben des US-Justizministeriums war sein Shop nach der Comicfigur Snoopy benannt, die auch sein Online-Pseudonym inspirierte.

Die Ermittler fanden zudem Nachrichten, in denen Austad mit anderen Mitgliedern der Gruppe über betrügerische Aktivitäten sprach und sie darauf vorbereitete, dass Strafverfolgungsbehörden aufmerksam werden könnten.

Die Behörden ordneten Kryptowährungen im Wert von rund 465.000 US-Dollar Konten zu, die unter Austads Kontrolle standen.

Obwohl die Ermittler nicht offenlegten, wie viel Geld er mit dem Verkauf der kompromittierten Konten verdiente, spielten die Kryptowährungen eine wichtige Rolle bei den Ermittlungen.

Behörden gehen weiter gegen Cyberkriminelle vor

Die Ermittlungen zum DraftKings-Angriff haben bereits zu mehreren Verurteilungen geführt.

Joseph Garrison war das erste Mitglied der Gruppe, das im Januar 2024 zu 18 Monaten Haft verurteilt wurde.

Später erhob die Staatsanwaltschaft Anklage gegen weitere Verdächtige, darunter Kamerin Stokes, der online unter dem Namen „TheMFNPlug“ bekannt ist, sowie Nathan Austad.

Stokes erhielt im April 2026 wegen seiner Beteiligung an der Tat eine Freiheitsstrafe von 30 Monaten.

Die Reihe der Verurteilungen zeigt, dass die US-Behörden ihre Maßnahmen gegen Cyberkriminelle fortsetzen, die mit gestohlenen Zugangsdaten, Kontoübernahmen und Online-Betrug Geld verdienen.

Gericht ordnete Einziehung und Schadensersatz an

Neben der Freiheitsstrafe muss Austad nach seiner Entlassung drei Jahre unter Bewährungsaufsicht stehen.

Das Gericht ordnete außerdem die Einziehung von 463.684 US-Dollar sowie die Zahlung von mehr als 1,3 Millionen US-Dollar Schadensersatz an, um die Opfer zu entschädigen und kriminelle Gewinne abzuschöpfen.

Diese finanziellen Sanktionen zeigen, dass Cyberkriminelle neben Gefängnisstrafen auch erhebliche wirtschaftliche Folgen tragen müssen, wenn Ermittler gestohlene Vermögenswerte zurückverfolgen können.

Fazit

Der Fall des DraftKings-Hackers verdeutlicht erneut, dass Credential Stuffing weiterhin eine äußerst wirksame Angriffsmethode ist, wenn Nutzer ihre Passwörter auf mehreren Plattformen wiederverwenden.

Obwohl die Strafverfolgungsbehörden bereits mehrere Beteiligte verurteilt haben, wurden bei dem Angriff Zehntausende Kundenkonten kompromittiert und erhebliche finanzielle Schäden verursacht.

Einzigartige Passwörter für jeden Dienst und die Aktivierung der Multi-Faktor-Authentifizierung gehören weiterhin zu den wirksamsten Maßnahmen, um Kontoübernahmen zu verhindern.


0 Kommentare zu „DraftKings-Hacker zu 18 Monaten Haft wegen Kontoeinbrüchen verurteilt“