Kamerin Stokes, de 23 anos, foi condenado a 30 meses de prisão por um tribunal federal de Nova York por participação em um ataque de credential stuffing contra a DraftKings em 2022.
O caso também envolve Joseph Garrison, que se declarou culpado anteriormente e recebeu pena de 18 meses. A empresa confirmou que cerca de 68 mil contas foram comprometidas.
Ataque explorou erro comum dos usuários
O golpe utilizou a técnica de credential stuffing, que consiste em testar automaticamente combinações de login e senha obtidas em vazamentos anteriores.
Como muitos usuários reutilizam credenciais em diferentes plataformas, os invasores conseguiram acessar cerca de 60 mil contas usando dados comprados na dark web — número que a própria empresa depois estimou em aproximadamente 68 mil.
Esquema envolvia saque direto
Após invadir as contas, os criminosos adicionavam novos métodos de pagamento, faziam pequenos depósitos para validação e, em seguida, retiravam todo o saldo disponível.
Stokes era responsável por monetizar o esquema. Sob o apelido “TheMFNPlug”, ele operava uma loja online onde vendia acessos a contas com saldo. O volume movimentado ultrapassou US$ 125 mil.
Crime continuou após acordo com a Justiça
Mesmo após admitir culpa, Stokes retomou as atividades ilegais, expandindo a venda de credenciais roubadas para outras plataformas. Ele chegou a divulgar o serviço com o slogan “fraude é divertido”.
Em depoimento, alegou que precisava do dinheiro para pagar advogados — justificativa que não impediu uma nova prisão por violar as condições impostas pela Justiça.
Multas milionárias e investigação federal
A sentença foi proferida pela juíza Naomi Reice Buchwald e inclui:
- 30 meses de prisão
- 3 anos de liberdade supervisionada
- Confisco de US$ 125.965,53
- Restituição de US$ 1.327.061 às vítimas
No total, as penalidades ultrapassam US$ 1,4 milhão.
O caso foi investigado pelo FBI e anunciado pelo procurador Jay Clayton, reforçando o alerta sobre os riscos da reutilização de senhas em múltiplos serviços online.
