Nathan Austad, 21 anni del Minnesota, è stato condannato a 18 mesi di carcere federale per aver orchestrato l'assalto credential stuffing del novembre 2022 contro DraftKings. La sentenza, emessa il 23 giugno 2026 dall'U.S. District Court for the Southern District of New York, chiude un capitolo giudiziario che ha esposto come la reiterazione di password rubate possa generare profitti criminali a sei cifre senza alcuna sofisticazione tecnica. Austad non ha mai scritto exploit: ha gestito un marketplace, reclutato complici e monetizzato l'accesso a circa 60.000 account.
- Nathan Austad, alias 'Snoopy', è stato condannato a 18 mesi di prigione federale il 23 giugno 2026 per cospirazione informatica.
- L'attacco del novembre 2022 ha compromesso approssimativamente 60.000 account DraftKings mediante credential stuffing con credenziali precedentemente rubate.
- In circa 1.600 account sono stati aggiunti metodi di pagamento controllati dagli attaccanti, con un furto totale di circa $600.000.
- Austad gestiva il marketplace criminale 'Snoopy' per la vendita degli accessi residui e ha ricevuto circa $465.000 in cryptocurrency, inclusi proventi dell'attività criminale.
Il metodo: credential stuffing come catena industriale
L'attacco non ha sfruttato vulnerabilità zero-day né bypassato l'infrastruttura di DraftKings. Secondo le fonti citate, Austad e i complici hanno utilizzato credenziali ottenute da precedenti data breach, alimentando strumenti automatici di credential stuffing contro la piattaforma di betting. L'obiettivo era identificare utenti che riutilizzavano la stessa combinazione username-password su più servizi.
La differenziazione criminale non stava nella tecnica d'intrusione, ma nell'organizzazione della monetizzazione. Dei circa 60.000 account compromessi, solo una minoranza — approssimativamente 1.600 — è stata sfruttata direttamente per il furto, mediante l'aggiunta di metodi di pagamento controllati dagli attaccanti. Il resto è diventato merce: Austad ha gestito il proprio shop, denominato 'Snoopy' dal personaggio dei Peanuts, attraverso cui vendeva l'accesso agli account residui. Il modello è quello del access-as-a-service, dove la compromissione è solo la fase produttiva di una filiera criminale.
La struttura della frode: tre livelli, tre condanne
La giustizia federale ha mappato una gerarchia operativa. Austad non era l'esecutore tecnico ma l'imprenditore della frode: controllava il marketplace, distribuiva gli accessi e incassava i proventi. Prima di lui, la catena giudiziaria aveva già intercettato due complici: Joseph Garrison, condannato a 18 mesi nel gennaio 2024, e Kamerin Stokes, alias 'TheMFNPlug', condannato a 30 mesi nell'aprile 2026. Austad è il terzo anello a chiudersi, con una sentenza che conferma la persecuzione dei middleman oltre che degli esecutori.
La restituzione ordinata supera il milione e trecentomila dollari, con una forfeiture di $463.000 — cifra specificata in $463.684 da una fonte secondaria — e tre anni di libertà vigilata. I cryptocurrency account controllati da Austad hanno ricevuto approssimativamente $465.000 in asset, inclusi proventi dell'attività criminale, secondo la documentazione citata dalla fonte primaria.
"The defendants acknowledged the federal investigation into their conduct while they were committing their crimes, even having the hubris to say the FBI could not do anything about it. They were wrong." — Jay Clayton, U.S. Attorney
I messaggi che hanno inchiodato: consapevolezza totale dell'indagine
Gli scambi privati recuperati dalle investigazioni non lasciano spazio all'inesperienza. Nel dicembre 2022, mentre l'indagine FBI era già in corso, Austad ha scritto a un co-conspirator: "everyone shouldve been prepared for this before cashing out lol". Un altro messaggio, dei mesi successivi, è ancora più esplicito: "like we didnt know the risk when we started lol . . . everyone knows their [sic] committing fraud". Un complice ha replicato con "lol fbi can't do s--t". La coppia di messaggi documenta consapevolezza piena del rischio giudiziario, elemento aggravante che il tribunale ha considerato nella determinazione della pena.
La fonte non specifica come siano stati recuperati i messaggi né se attraverso sequestro di dispositivi o cooperazione di terze parti. La loro disponibilità indica tuttavia che la catena di comunicazione criminale non era protetta da sistemi di cifratura end-to-end o che questi sono stati aggirati.
Il danno rivisto: da $300.000 a un conteggio quasi doppio
La ricostruzione dell'impatto finanziario ha attraversato due fasi. DraftKings aveva inizialmente riportato un furto inferiore a $300.000 nel novembre 2022, poi rivisto il conteggio a 67.995 account compromessi. Le fonti giudiziarhe successive hanno quantificato in circa $600.000 il totale rubato dai ~1.600 account dove è stato attivato il metodo di pagamento fraudolento. La discrepanza tra account compromessi e account svuotati — circa il 2,7% del totale — evidenzia la logica di selezione criminale: non tutti gli accessi avevano valore immediato, ma tutti erano commerciabili.
Perché è importante
Il caso Austad definisce un profilo criminale emergente che la giustizia federale sta imparando a perseguere: l'imprenditore della frode che non scrive codice ma organizza il mercato. La fonte non specifica se DraftKings abbia introdotto mitigazioni tecniche specifiche post-2022, né se il marketplace 'Snoopy' operasse anche per piattaforme diverse dalla società di betting. Il dossier non documenta inoltre se esistano ulteriori imputati non ancora processati, né la destinazione finale dei fondi oltre i $465.000 in cryptocurrency sequestrati.
Il punto di lettura è che il credential stuffing continua a essere trattato come attacco di bassa lega, ma la sua industrializzazione — marketplace dedicati, divisione del lavoro, monetizzazione differenziata — lo trasforma in rischio sistemico per il settore del gaming e betting online, dove l'aggiunta rapida di metodi di pagamento è feature del prodotto e non bug.
Domande frequenti
Cos'è il credential stuffing e perché ha funzionato contro DraftKings?
È un attacco automatizzato che prova combinazioni di username e password ottenute da precedenti breach su altri servizi. Funziona perché riutilizza credenziali già esposte, sfruttando il riutilizzo password degli utenti.
Perché la pena è di soli 18 mesi?
Secondo le fonti citate, Austad si è dichiarato colpevole nel dicembre 2025 di cospirazione per intrusione informatica; il riconoscimento di colpevolezza e la cooperazione giudiziaria tipicamente riducono la pena rispetto al processo.
I fondi rubati sono stati recuperati?
Il dossier non specifica se il DOJ abbia recuperato fondi oltre alla forfeiture ordinata di $463.000-$463.684. La restituzione totale ordinata supera il milione e trecentomila dollari, ma la sua effettiva realizzazione non è documentata.
Fonti
- https://cyberscoop.com/draftkings-hack-sentencing-nathan-austad-snoopy/
- https://www.helpnetsecurity.com/2026/06/25/hacker-sentenced-draftkings-credential-stuffing-attac/
- https://www.bleepingcomputer.com/news/security/draftkings-hacker-snoopy-sentenced-to-18-months-in-prison/
- https://unit42.paloaltonetworks.com/soc-72-minute-race/
- https://unit42.paloaltonetworks.com/microsoft-teams-phishing/
- https://www.law360.com/cybersecurity-privacy/articles/2492799/hacker-who-orchestrated-draftkings-intrusion-gets-18-mos-?about
- https://www.bleepingcomputer.com/
- https://www.bleepingcomputer.com/tutorials/
- https://www.bleepingcomputer.com/download/
- https://deals.bleepingcomputer.com/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.