HackerangriffeCyberkriminalitätDatenschutz

DraftKings-Hacker zu 30 Monaten Haft verurteilt – Trotz Schuldeingeständnis weiter Konten verkauft

DraftKings-Hacker zu 30 Monaten Haft verurteilt – Trotz Schuldeingeständnis weiter Konten verkauft
Zusammenfassung

Ein weiterer Täter aus einer großangelegten Cyberkriminalitätskampagne gegen die amerikanische Wettplattform DraftKings ist zu einer Gefängnisstrafe verurteilt worden. Der 23-jährige Kamerin Stokes aus Memphis, Tennessee, erhielt eine Haftstrafe von 30 Monaten, weil er 2022 an einem sogenannten Credential-Stuffing-Angriff beteiligt war, bei dem Hacker etwa 60.000 Benutzerkonten mit gestohlenen Zugangsdaten infiltrierten. Unter dem Pseudonym „TheMFNPlug" beschaffte sich Stokes massenweise DraftKings-Konten und verkaufte diese auf einem eigenen Online-Marktplatz – selbst nachdem er sich schuldig bekannt hatte. Besonders bemerkenswert ist, dass er seinen Betrieb unter dem Slogan „Fraud is Fun" (Betrug ist Spaß) wieder aufnahm und argumentierte, dass er die Anwälte für sein Gerichtsverfahren bezahlen müsse. Insgesamt sind drei Personen in den Anschlag verwickelt, zwei weitere Täter wurden bereits verurteilt. Obwohl DraftKings ein amerikanisches Unternehmen ist, zeigt dieser Fall ein wachsendes Problem für deutsche Nutzer und Unternehmen: Credential-Stuffing-Anschläge bedrohen Millionen von Online-Konten weltweit, und die Verkäufe gestohlener Zugangsdaten auf Dark-Web-Marktplätzen stellen eine kontinuierliche Bedrohung dar, insbesondere für Glücksspiel- und Finanzplattformen, die auch in Deutschland populär sind.

Die US-Justiz hat im Fall der DraftKings-Attacke von 2022 ein deutliches Zeichen gesetzt. Kamerin Stokes muss nun nicht nur 30 Monate im Gefängnis verbüßen, sondern auch 125.000 Dollar Vermögensabschöpfung und 1,3 Millionen Dollar Schadensersatz zahlen. Hinzu kommt eine dreijährige Bewährungsfrist nach seiner Entlassung.

Bei der Attacke auf die Fantasy-Sports- und Wettplattform verschafften sich Hacker Zugriff auf etwa 60.000 Konten. Sie nutzten dafür Benutzernamen-Passwort-Kombinationen, die aus anderen Datenlecks stammten – eine Methode, die als Credential Stuffing bekannt ist. Ziel war es, Geldmittel von diesen gehackten Konten abzubuchen.

Stokes’ Rolle war zentral: Der junge Hacker beschaffte sich DraftKings-Konten im großen Stil und verkaufte Zugänge über einen eigenen Online-Marktplatz weiter. Besonders bemerkenswert ist sein Verhalten nach dem Schuldgeständnis. Statt seine kriminellen Aktivitäten zu beenden, eröffnete Stokes seinen Shop neu und warb damit, dass “fraud is fun” – zu Deutsch: Betrug macht Spaß. Er prahlte damit, solche illegalen Shops bereits seit drei Jahren zu betreiben. Als Begründung für die Wiedereröffnung gab er sogar an: “Ich muss meine Anwälte bezahlen.”

Das US-Justizministerium dokumentierte diese Aussagen als Beweis für mangelnde Reue und fortgesetzte kriminelle Aktivitäten. Dies dürfte die hohe Strafzumessung beeinflusst haben.

Stokes ist nicht allein in dieser Verschwörung. Joseph Garrison war bereits im November 2023 schuldig gesprochen worden und saß seit Februar 2024 für 18 Monate im Gefängnis. Nathan Austad gestand im Dezember 2025 ein und muss noch verurteilt werden. Alle drei arbeiteten zusammen bei der Durchführung des Credential-Stuffing-Angriffs und beim anschließenden Verkauf von Kontozugängen.

Für Sicherheitsexperten zeigt der Fall ein anhaltend großes Problem: DraftKings wird bis heute von Credential-Stuffing-Attacken heimgesucht. Im Oktober 2025 musste das Unternehmen Nutzer erneut vor solchen Angriffen warnen. Dies deutet darauf hin, dass gestohlen Zugangsdaten im Dark Web und auf illegalen Marktplätzen weiterhin in großem Stil angeboten und für Angriffe genutzt werden.

Deutsche Nutzer sollten verstehen, dass solche Angriffe keine Sicherheitslücken in den angegriffenen Diensten ausnutzen – sie setzen vielmehr auf Passwort-Wiederverwendung. Wer das gleiche Passwort bei mehreren Diensten nutzt und eine davon gehackt wird, ist automatisch anfällig für solche Angriffe.

Ähnliche Artikel