美国纽约,4月16日,一起持续近三年的DraftKings账户盗刷案迎来最新判决。来自田纳西州孟菲斯的23岁男子卡梅林·斯托克斯,被美国联邦法院判处30个月监禁,刑满后还将接受3年监管。这起案件之所以引发关注,不只是因为涉案平台是美国知名体育博彩运营商,更因为案件揭开了“撞库”黑产链条的完整运作方式。
从登录信息到现金转走,一条完整黑产链浮出水面
检方披露,案件最早可追溯到2022年11月18日。黑客先从其他平台的大规模数据泄露中收集用户名和密码,再批量尝试登录DraftKings账户。由于不少用户存在“一套密码走天下”的习惯,攻击者最终成功进入约6万个账户。
更严重的是,部分被攻破的账户随后被用于盗提资金。办案材料显示,黑产人员会先给账户新增一个支付方式,再小额充值5美元完成验证,随后把账户里原有资金转走。最终,约1600个账户出现实际资金损失,总金额约60万美元。
主犯之一认罪后仍重操旧业,法院从重处理
斯托克斯在这条链条中的角色,并非最前端的“撞库执行者”,而是负责识别高价值账号、批量收购并转卖账户权限。他使用“TheMFNPlug”的化名经营黑市“店铺”,销售被盗账户访问权。检方称,他手中一批DraftKings账户的标示余额就超过12.5万美元。
更让法院难以接受的是,斯托克斯在2024年4月认罪后,竟然又重新开起黑店,继续兜售其他被盗账户,并打出“欺诈很有趣”这样的宣传口号。最终,法院除判处监禁外,还裁定其支付约12.6万美元没收款,以及约132.7万美元赔偿金。
三名被告先后落网,案件仍在收尾
这起案件并非单人作案。此前,约瑟夫·加里森已在2024年1月被判18个月监禁;另一名被告内森·奥斯塔德则在2025年12月认罪,目前仍在等待量刑。美国司法部门的表述很明确,这不是简单的账户盗用,而是一条从撞库、筛号、售卖到账户提现的分工型黑产链。
值得注意的是,司法文件写的是“约6万个账户被非法进入”,而DraftKings向缅因州总检察长提交的数据泄露通知中则披露,受这次事件影响的人数达到67,995人。换句话说,真正被盗走资金的账户只是其中一部分,但大量用户的姓名、住址、电话、邮箱、支付卡后四位、交易记录等信息都可能已经暴露。
DraftKings并非第一次中招,平台安全问题再次被放大
这起案件的后续影响并没有随着抓人判刑而彻底结束。2025年10月,DraftKings又一次向部分用户发出安全提醒,称发现新的撞库式异常登录事件。公司当时强调,自身核心系统没有被攻破,问题仍然来自外部泄露凭证被重复使用。
这也说明一个现实问题:在互联网黑产里,平台名气越大、账户里现金流越高,越容易成为撞库重点目标。对用户来说,最危险的往往不是某一家平台单独出事,而是多个平台共用同一套账号密码。一旦某个小网站先泄露信息,真正遭殃的可能反而是绑定银行卡、钱包余额更高的大平台账户。
