Egy kiszivárgott jelszó nem csak egy internetes fiókot veszélyeztet, az összes többihez is hozzáférést adhat a webes támadóknak - figyelmeztet a ESET. A kiberbiztonsági cég szerint egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak, bankszámlák is veszélybe kerülhetnek a credential stuffing támadáskor, amikor a bűnözők a korábbi adatlopásokból származó belépési adatokat próbálnak ki más online fiókoknál.
Az MTI-nek elküldött közleményükben azt írják, a támadási módszer hatékonyságát növeli, hogy a felhasználók, például az amerikaiak 62 százaléka gyakran vagy mindig ugyanazokat a jelszavakat használja egy friss felmérés szerint.
A credential stuffing támadásokkor nem jelszót törnek fel, hanem a már meglévő, érvényes belépési adatokat használják. A támadók például automatizált programkódokkal, azaz szkriptekkel próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál: a haveibeenpwned.com weboldalon napjainkban több mint 17 milliárd ellopott-kiszivárgott belépési adat található, és bárki ellenőrizheti, hogy ő maga érintett volt-e egy korábbi incidensben.
A közlemény szerint a probléma nagyságát mutatja, hogy 2022-ben a PayPal közel 35 ezer felhasználói fiók kompromittálását jelentette, kizárólag korábbi adatlopásokból származó jelszavak újrafelhasználása miatt; 2024-ben a Snowflake nevű felhőalapú adatplatform ügyfeleit érintő támadáshullám során mintegy 165 szervezet fiókjához fértek hozzá támadók, akik kártevőkkel megszerzett belépési adatokat használtak a szolgáltatás rendszereinek feltörése nélkül.
A credential stuffing technika használatának terjedését az is gyorsítja, hogy az adatlopó kártevők (infostealerek) mennyisége robbanásszerűen nő, miközben a támadók egyre gyakrabban használnak mesterséges intelligencia által támogatott szkripteket, amelyek képesek megkerülni az alapvető botok (automatizált szoftverek) elleni védelmi megoldásokat – áll a közleményben.
