Die gekaperten Konten gehen auf einen groß angelegten Credential-Stuffing-Angriff vom November 2022 zurück. Nach Angaben der US-Staatsanwaltschaft nutzten Nathan Austad (alias Snoopy) und Joseph Garrison eine Liste mit Zugangsdaten, die in mehreren früheren Datenlecks erbeutet worden waren, um sich in DraftKings-Konten einzuloggen. Insgesamt waren nahezu 68.000 Konten betroffen. Den Zugang verkauften sie an Dritte, die anschließend rund 635.000 Dollar von etwa 1.600 kompromittierten Konten erbeuteten.
Über eigene „Shops" verkauften Austad und Garrison gekaperte DraftKings-Konten sowie Zugänge zu FanDuel und Chick-fil-A und nahmen damit mehr als 2,1 Millionen Dollar ein. Einen erheblichen Teil verkauften sie zudem in großen Mengen an Stokes weiter, der die Konten über seinen eigenen Shop erneut anbot.
Einen Monat nach dem Angriff teilte der Sportwetten-Konzern DraftKings mit, mehrere Hunderttausend Dollar zurückerstatten zu müssen. Die Angreifer hatten in den betroffenen Konten eine neue Zahlungsmethode hinterlegt, deren Gültigkeit mit einer Einzahlung von fünf Dollar bestätigt und anschließend sämtliche verfügbaren Guthaben abgezogen.
Besonders hervorgehoben wird im Verfahren das Verhalten von Stokes nach seiner ersten Festnahme. Obwohl er sich schuldig bekannt hatte und bis zum Prozess auf freiem Fuß war, eröffnete er seinen Shop erneut, versah ihn mit dem Slogan „fraud is fun" („Betrug macht Spaß") und verkaufte weiterhin Zugänge zu kompromittierten Konten verschiedener Anbieter. Laut Anklage räumte er ein, „solche Shops bereits seit drei Jahren betrieben" zu haben, und gab an, den Shop wieder eröffnet zu haben, weil er Geld für seinen Anwalt benötige.
„Kamerin Stokes hat durch einen Cyberangriff Tausende Nutzer einer Online-Wettseite geschädigt", erklärte US-Staatsanwalt Jay Clayton in einer Pressemitteilung am Donnerstag. Nach seinem Schuldbekenntnis habe Stokes „dreist sein kriminelles Geschäft wiedereröffnet", es mit dem Slogan „Betrug macht Spaß" beworben und angegeben, den neuen Shop unter anderem deshalb betrieben zu haben, weil er „seine Anwälte bezahlen" müsse — eine Anspielung auf das laufende Verfahren gegen ihn.
Nach der Wiedereröffnung seiner Website wurde Stokes erneut festgenommen, weil er gegen die Auflagen seiner Freilassung verstoßen hatte, und in Bundesgewahrsam zurückgebracht. Zusätzlich zur Haftstrafe von 30 Monaten verhängte das Gericht drei Jahre Führungsaufsicht und ordnete Zahlungen von 1.327.061 Dollar Entschädigung sowie 125.965,53 Dollar Einziehung an.
