Ảnh minh họa. The Hacker New

Tấn công nhồi thông tin xác thực vào DraftKings và hậu quả

DraftKings là công ty công nghệ và giải trí thể thao có trụ sở tại Boston (Mỹ), nổi tiếng với các trò chơi thể thao giả tưởng và cá cược trực tuyến. Doanh nghiệp này hợp tác với nhiều giải đấu lớn như bóng bầu dục Mỹ (NFL), khúc côn cầu trên băng (NHL), golf (PGA TOUR), bóng rổ nữ (WNBA), võ thuật tổng hợp (UFC) và đua xe ô tô (NASCAR), báo cáo doanh thu năm 2024 đạt 4,77 tỷ USD.

Theo CPO Magazine, DraftKings cho biết đã phát hiện vụ tấn công mạng vào ngày 2/9/2025 và đã mở cuộc điều tra nội bộ, đồng thời triển khai các biện pháp bổ sung để giảm thiểu rủi ro.

Trong vụ việc này, tin tặc đã sử dụng kỹ thuật nhồi thông tin “credential stuffing” thu thập các cặp tên đăng nhập và mật khẩu bị rò rỉ từ những dịch vụ khác rồi tự động thử đăng nhập trên DraftKings. Nếu người dùng sử dụng lại mật khẩu từ các ứng dụng khác, tài khoản sẽ bị chiếm quyền truy cập. Kết quả điều tra nội bộ xác định rằng kẻ tấn công đã truy cập vào thông tin cá nhân từ một số tài khoản khách hàng.

Trong thông báo vi phạm dữ liệu được nộp tại Massachusetts, công ty tuyên bố:

“Điều quan trọng là cuộc điều tra của chúng tôi cho đến nay không tìm thấy bằng chứng nào cho thấy thông tin đăng nhập của khách hàng được lấy từ DraftKings hoặc hệ thống máy tính hay mạng của DraftKings bị xâm phạm trong sự cố này”.

Công ty xác nhận tin tặc đã xem được tên, địa chỉ, email, số điện thoại, ngày sinh, ảnh hồ sơ, bốn chữ số cuối của thẻ thanh toán và lịch sử giao dịch, nhưng không tiếp cận được thông tin tài chính hoặc giấy tờ tùy thân. DraftKings nhấn mạnh máy chủ nội bộ không bị xâm nhập, dữ liệu bị lộ chủ yếu do người dùng tái sử dụng mật khẩu đăng nhập trên các ứng dụng khác.

Hiện doanh nghiệp đã yêu cầu người dùng đổi mật khẩu và khuyến nghị kích hoạt xác thực đa yếu tố (MFA), song biện pháp này mới áp dụng bắt buộc cho các tài khoản bị ảnh hưởng trực tiếp.

Sự cố khiến nhiều người dùng có nguy cơ bị lừa đảo qua email hoặc tin nhắn mạo danh, khi kẻ xấu sử dụng dữ liệu cá nhân thật để tạo lòng tin. Một số tài khoản có thể bị khai thác cho các giao dịch gian lận hoặc cá cược trái phép.

Những vụ tấn công lặp lại và bài học đắt giá

Đây không phải là lần đầu DraftKings trở thành mục tiêu của các chiến dịch tấn công dạng này. Tháng 11/2022, tin tặc từng xâm nhập hệ thống bằng thông tin đăng nhập bị đánh cắp từ các dịch vụ khác, chiếm đoạt 600.000 USD từ tài khoản khách hàng. Nhóm tội phạm thêm phương thức thanh toán mới rồi rút sạch tiền của nạn nhân, buộc công ty phải hoàn trả cho người dùng khoảng 300.000 USD.

Steve Cobb, Giám đốc An ninh Thông tin tại SecurityScorecard nhận xét: “DraftKings hiện chỉ yêu cầu xác thực đa yếu tố đối với những người dùng có khả năng bị ảnh hưởng, thay vì áp dụng trên toàn hệ thống. Phản ứng mang tính chọn lọc đó phản ánh tư duy thụ động, chứ không phải tư duy phòng ngừa.”

Ông Jake Cobb khi đó đặt câu hỏi: “Nếu ba trăm nghìn đô la tiền hoàn trả khách hàng không đủ để kích hoạt biện pháp bảo vệ toàn bộ hệ thuống, thì thiệt hại bao nhiêu mới đủ?” – một nhận định cho thấy sự chủ quan kéo dài của doanh nghiệp trong vấn đề bảo mật dữ liệu người dùng.

Đến năm 2024, Joseph Garrison – một hacker 19 tuổi – bị kết án 1,5 năm tù giam và 3 năm quản chế vì tham gia các vụ tấn công credential stuffing vào DraftKings. Anh ta bị buộc nộp phạt 175.000 USD và bồi thường 1,3 triệu USD. Hai nghi phạm khác, Nathan Austad (19 tuổi) và Kamerin Stokes (21 tuổi), cũng bị truy tố với nhiều tội danh như âm mưu xâm nhập máy tính, lừa đảo qua mạng và trộm cắp danh tính nghiêm trọng. Nếu bị kết án, họ có thể phải đối mặt với mức án lên đến 20 năm tù.

Ngành cá cược trực tuyến - “miếng mồi” của tin tặc năm 2025

Theo các chuyên gia an ninh mạng, các nền tảng cá cược và thể thao giả tưởng đang trở thành mục tiêu ưu tiên cho các cuộc tấn công mạng trong năm 2025, do chứa khối lượng lớn dữ liệu tài chính và thông tin người dùng có giá trị cao. Nhiều vụ việc tương tự đã được ghi nhận ở châu Âu và Bắc Mỹ, cho thấy xu hướng tin tặc chuyển hướng từ ngân hàng sang các dịch vụ giải trí có yếu tố giao dịch tiền thật.

Các chuyên gia cảnh báo: “Không có lớp phòng thủ kỹ thuật nào hiệu quả nếu người dùng vẫn sử dụng lại mật khẩu cũ.” Việc bảo vệ dữ liệu cá nhân giờ đây không chỉ là trách nhiệm của doanh nghiệp, mà còn là kỷ luật số của mỗi người dùng trong kỷ nguyên rủi ro mạng ngày càng tinh vi.

An Lâm (Theo The hacker News)