397/68 (IT) ประจำวันศุกร์ที่ 10 ตุลาคม 2568
DraftKings บริษัทเดิมพันกีฬาออนไลน์ของสหรัฐฯ ออกประกาศเตือนหลังตรวจพบการโจมตีแบบ Credential Stuffing เมื่อวันที่ 2 กันยายน 2025 โดยพบว่ามีการพยายามเข้าถึงบัญชีผู้ใช้งานบางส่วนด้วยการนำ Username และ Password ที่มีการรั่วไหลจากเหตุการณ์ Data Breach อื่นมาใช้ล็อกอิน ซึ่งอย่างไรก็ตามทางบริษัทระบุว่าไม่มีหลักฐานบ่งชี้ว่าระบบของ DraftKings ถูกเจาะหรือมีข้อมูลสำคัญอย่างเลขบัตรประชาชนหรือข้อมูลทางการเงินรั่วไหล
ข้อมูลที่อาจถูกเข้าถึงประกอบด้วย ชื่อ ที่อยู่ วันเกิด เบอร์โทร อีเมล รูปโปรไฟล์ รายละเอียดธุรกรรม ยอดเงินในบัญชี หมายเลขสมาชิกบางส่วน และเลข 4 หลักท้ายของบัตรที่ผูกไว้ DraftKings ยืนยันว่า Credentials ที่ถูกนำมาโจมตีไม่ได้รั่วจากระบบของตนเอง แต่ผู้โจมตีอาจสามารถล็อกอินเข้าสู่บัญชีลูกค้าบางรายได้ชั่วคราว บริษัทได้ดำเนินการสืบสวนภายในทันที พร้อมบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชีที่ได้รับผลกระทบ และเพิ่มมาตรการป้องกันเพิ่มเติม รวมถึงการบังคับเปิด Multi-Factor Authentication (MFA)
DraftKings ได้เคยตกเป็นเป้า Credential Stuffing มาแล้วในปี 2022 ซึ่งกระทบกับบัญชีผู้ใช้งานกว่า 68,000 บัญชี และต่อมาในปี 2024 ศาลสหรัฐฯ ได้ตัดสินจำคุกผู้ก่อเหตุซึ่งเป็นวัยรุ่นอายุ 18 ปีเป็นเวลา 18 เดือน โดยเหตุการณ์ล่าสุดนี้แสดงให้เห็นถึงความเสี่ยงของบัญชีออนไลน์ที่ผู้ใช้งานมักใช้รหัสผ่านซ้ำกันในหลายบริการ บริษัทแนะนำให้ผู้ใช้งานรีบเปลี่ยนรหัสผ่านที่ไม่ซ้ำกัน เปิด MFA และระวังการโจมตีทางไซเบอร์ในรูปแบบนี้
