DraftKings n’est pas nommé dans la plainte pénale contre Garrison. Mais une personne proche de l’entreprise a déclaré qu’elle était la cible de ce que l’on appelle l’attaque de « credential stuffing ». DraftKings l’a confirmé plus tard.
Dans une déclaration à CNBC, DraftKings a déclaré : « La sûreté et la sécurité des informations personnelles et de paiement de nos clients sont d’une importance primordiale pour DraftKings. Nous avons travaillé avec les forces de l’ordre pour arrêter le ou les mauvais acteurs présumés, et nous souhaitons remercier le Ministère de la Justice, notamment le FBI et le procureur américain du district sud de New York, pour leur action rapide et efficace. »
La société a déclaré avoir rétabli les fonds pour le « nombre limité d’utilisateurs » touchés par la violation.
Les forces de l’ordre ont fouillé le domicile de Garrison dans le Wisconsin le 23 février et ont récupéré son ordinateur et son téléphone portable, selon la plainte.
Sur ces appareils, les enquêteurs ont trouvé des programmes de bourrage d’informations d’identification, des photos d’instructions sur la façon d’utiliser les informations d’identification des utilisateurs volées pour voler de l’argent sur les comptes des victimes, ainsi que des messages entre Garrison et les co-conspirateurs, indique la plainte.
Les messages incluaient ceux dans lesquels Garrison écrivait : « La fraude est amusante… je suis accro à voir de l’argent sur mon compte… je suis comme obsédé par le fait de contourner les c… », selon un dossier déposé au tribunal.
Les images citées dans l’affidavit du FBI ont été hébergées sur Imgur, un site Web populaire de partage de fichiers.
CNBC a également trouvé les mêmes images sur un site Web qui vendrait des comptes compromis sur DraftKings et FanDuel, entre autres.
ESPN avait précédemment signalé qu’une cyberattaque en novembre avait affecté les utilisateurs de DraftKings et du site rival FanDuel. FanDuel a déclaré à CNBC qu’il n’avait pas été matériellement affecté par l’attaque : « Notre sécurité a fait son travail. »
Garrison est accusé de complot en vue de commettre des intrusions informatiques, d’accès non autorisé à un ordinateur protégé en vue de commettre une fraude intentionnelle, d’accès non autorisé à un ordinateur protégé, de complot de fraude électronique, de fraude électronique et d’usurpation d’identité aggravée.
Il risque une peine de prison maximale de 20 ans s’il est reconnu coupable, mais sa peine serait probablement beaucoup moins longue en vertu des lignes directrices fédérales.
Chris Cylke, vice-président senior des relations gouvernementales à l’American Gaming Association, un groupe industriel, a déclaré à CNBC : « L’industrie du jeu légal travaille dur pour fournir aux consommateurs un accès sûr et réglementé aux paris. »
« Les nouvelles d’aujourd’hui renforcent l’importance pour les forces de l’ordre à tous les niveaux de demander des comptes aux fraudeurs et autres criminels », a déclaré Cylke.
– CNBC Rohan Goswami contribué à ce rapport.