Credential stuffing este o metodă de atac cibernetic în care infractorii folosesc nume de utilizator și parole furate pentru a obține acces neautorizat la conturi online. În loc să atace direct sistemele, atacatorii profită de un obicei simplu: reutilizarea parolelor. Mulți oameni folosesc aceleași date de autentificare pe mai multe site‑uri. Dacă o platformă suferă o breșă de date, acele credențiale furate pot fi testate automat pe alte site‑uri.
Această metodă este foarte eficientă, ieftină și în mare parte automatizată. Deoarece se bazează pe date reale de autentificare, atacurile de tip credential stuffing pot fi greu de detectat și pot părea încercări normale de logare.
Istoric:
Credential stuffing a devenit răspândit la mijlocul anilor 2010, când breșele de date la scară largă au expus miliarde de nume de utilizator și parole online. Odată ce bazele de date cu credențiale scurse au început să circule pe forumurile de hackeri, atacatorii au început să folosească instrumente automatizate (boți) pentru a testa acele credențiale pe site‑uri populare.
Un exemplu important a avut loc în 2019, când atacatorii au folosit tehnici de credential stuffing împotriva utilizatorilor Disney+ la scurt timp după lansare. Mii de conturi au fost accesate folosind parole reutilizate din breșe anterioare, iar unele dintre aceste conturi au fost ulterior vândute online.
Un alt caz cunoscut a implicat Zoom în 2020. Atacatorii au încercat să acceseze conturi folosind credențiale obținute din alte breșe de date. Deși Zoom nu a fost direct atacat în acele situații, parolele reutilizate au permis infractorilor să acceseze conturi.
Aceste cazuri arată că, chiar dacă sistemele unei companii sunt sigure, obiceiurile utilizatorilor privind parolele pot crea vulnerabilități.
Cea mai folosită formă de atac Credential Stuffing
Îți creezi un cont pe un mic site de cumpărături online folosind emailul și o parolă pe care o folosești și pentru rețele sociale și pentru aplicația bancară. Câteva luni mai târziu, acel site de cumpărături suferă o breșă de date, iar credențialele tale sunt scurse online.
Atacatorii folosesc apoi software automatizat pentru a testa combinația ta de email și parolă pe platforme populare precum servicii de email, servicii de streaming și magazine online.
Dacă parola funcționează, atacatorul obține acces fără să fie nevoie să „spargă” ceva.
Deoarece datele de autentificare sunt reale, sistemele de securitate nu recunosc imediat activitatea ca fiind suspectă. Acest lucru face ca credential stuffing să fie atât simplu, cât și puternic.
Tipuri de atacuri
- Atacuri automate cu boți: Atacatorii folosesc boți software pentru a testa mii sau chiar milioane de credențiale furate pe mai multe site‑uri.
- Credential Stuffing țintit: În loc să testeze conturi la întâmplare, atacatorii se concentrează pe persoane specifice, precum directori sau figuri publice.
- Account Takeover (ATO): După ce obțin acces, atacatorii schimbă parola, blochează utilizatorul și folosesc contul pentru fraudă sau furt de identitate.
- Atacuri cu „combo lists”: Infractorii folosesc „liste combo” — baze de date mari cu combinații de email și parole furate — cumpărate sau distribuite pe forumuri underground.
Prevenirea Credential Stuffing
- Folosește parole unice pentru fiecare cont: Reutilizarea parolelor este principalul motiv pentru care credential stuffing funcționează.
- Activează autentificarea Multi‑Factor (MFA): Chiar dacă atacatorii au parola ta, MFA poate preveni accesul neautorizat.
- Folosește un manager de parole: Managerii de parole generează și stochează parole puternice și unice pentru fiecare site.
- Monitorizează conturile pentru activități neobișnuite: Alertele de logare neașteptate sau emailurile de resetare a parolei pot indica tentative de atac.
- Organizațiile ar trebui să implementeze limitarea ratei și detectarea boților: Limitarea încercărilor de autentificare și detectarea comportamentului automatizat pot reduce semnificativ rata de succes a atacurilor.
Concluzie
Credential stuffing demonstrează cum o singură breșă de date poate crea un efect în lanț pe mai multe platforme. Atacul nu se bazează pe tehnici complexe de hacking, ci exploatează comportamentul uman și reutilizarea parolelor. Pe măsură ce tot mai multe servicii se mută online, riscurile continuă să crească.
Adoptând practici puternice privind parolele, activând autentificarea Multi‑Factor și rămânând atent la activități suspecte, atât indivizii, cât și organizațiile își pot reduce semnificativ expunerea. În securitatea cibernetică, obiceiurile mici — precum folosirea unor parole unice — pot face o diferență majoră.