DraftKings Laporkan Serangan Credential Stuffing, Puluhan Akun Pelanggan Diretas
DraftKings, perusahaan taruhan olahraga asal Boston, mengonfirmasi bahwa sejumlah akun pelanggannya telah diretas melalui serangan credential stuffing, di mana pelaku menggunakan kombinasi username dan password curian dari layanan lain untuk masuk ke sistem DraftKings.
Dalam surat pemberitahuan pelanggaran data yang dikirim pada 2 Oktober 2025, perusahaan menjelaskan bahwa para penyerang berhasil mengakses sebagian kecil data pelanggan, namun tidak ada bukti bahwa data sensitif seperti nomor identitas pemerintah atau rekening bank berhasil dicuri.
🎯 Kronologi dan Skema Serangan
Serangan credential stuffing memanfaatkan kebiasaan pengguna yang menggunakan kata sandi yang sama di berbagai platform.
Dengan bantuan alat otomatis, penyerang mencoba kombinasi kredensial yang telah bocor di internet untuk mendapatkan akses ke akun aktif.
“Dengan mencuri kredensial dari sumber non-DraftKings dan menggunakannya dalam serangan ini, pelaku mungkin sempat bisa masuk ke akun beberapa pelanggan DraftKings,” ujar perusahaan.
Jika akun berhasil diakses, pelaku dapat melihat:
- Nama lengkap, alamat, tanggal lahir
- Nomor telepon dan alamat email
- Empat digit terakhir dari kartu pembayaran
- Foto profil, riwayat transaksi, saldo akun
- Tanggal terakhir perubahan kata sandi
DraftKings memastikan tidak ada akses ke data keuangan penuh atau informasi identitas sensitif, sehingga risiko pencurian dana atau identitas dianggap minimal.
🔐 Langkah Keamanan Baru
Sebagai tindak lanjut, DraftKings mewajibkan pelanggan terdampak untuk:
- Mengatur ulang kata sandi akun,
- Mengaktifkan autentikasi dua faktor (MFA), dan
- Meninjau aktivitas bank serta laporan kredit mereka.
Perusahaan juga menyarankan pengguna untuk menempatkan pembekuan keamanan (security freeze) pada laporan kredit serta mengaktifkan peringatan penipuan (fraud alert) sebagai langkah pencegahan tambahan.
📉 Dampak Insiden
Dalam pembaruan resmi kepada BleepingComputer, DraftKings menjelaskan bahwa:
“Serangan credential stuffing ini memengaruhi kurang dari 30 pelanggan. Tidak ada indikasi bahwa kredensial diperoleh dari sistem DraftKings, dan tidak ada pelanggan yang mengalami kerugian finansial.”
Artinya, insiden ini jauh lebih kecil skalanya dibanding serangan sebelumnya pada November 2022, ketika hingga $300.000 dicuri dari hampir 68.000 akun pelanggan.
Pada saat itu, DraftKings mengganti semua kerugian pelanggan yang terdampak.
⚠️ Peringatan dari FBI
FBI telah lama memperingatkan bahwa serangan credential stuffing semakin meningkat secara global, seiring maraknya daftar kredensial bocor yang diperjualbelikan di forum gelap serta alat otomatisasi serangan yang mudah diakses.
Untuk mencegah risiko serupa, pengguna disarankan untuk:
- Tidak menggunakan kata sandi yang sama di beberapa platform,
- Mengaktifkan MFA di semua akun penting, dan
- Menggunakan pengelola kata sandi (password manager) tepercaya.
🧩 Ringkasan
| Aspek | Detail |
|---|---|
| Perusahaan | DraftKings (Sports betting & fantasy sports) |
| Jenis Serangan | Credential Stuffing |
| Tanggal Insiden | Diumumkan 2 Oktober 2025 |
| Jumlah Akun Terdampak | < 30 pelanggan |
| Data yang Diakses | Informasi dasar pelanggan dan 4 digit terakhir kartu |
| Data Tidak Dicuri | Nomor ID pemerintah, nomor rekening penuh |
| Langkah Perusahaan | Reset password, MFA wajib, notifikasi pelanggan |
| Kerugian Finansial | Tidak ada laporan kerugian |
| Kasus Sebelumnya | 2022 – 68.000 akun diretas, $300.000 dicuri |
Sumber: DraftKings, BleepingComputer, FBI
