Credential stuffing to rodzaj cyberataku, w którym przestępcy wykorzystują skradzione dane uwierzytelniające — zazwyczaj pary nazwa użytkownika (login) oraz hasło — które zostały pozyskane w wyniku wycieków danych z różnych serwisów internetowych. Atak polega na automatyzowanym, masowym próbowaniu zalogowania się do wielu różnych usług online, wykorzystując wcześniej skradzione poświadczenia. Kluczowym punktem, który czyni credential stuffing skutecznym, jest powszechna praktyka użytkowników polegająca na powtarzaniu tych samych haseł na wielu portalach i platformach.
Cyberprzestępcy najczęściej zdobywają te dane poprzez wycieki baz danych, phishing albo kupując je na czarnym rynku (dark web). Następnie za pomocą specjalistycznych narzędzi automatyzują próby logowania na różnych witrynach, co pozwala im na szybkie wykrycie kont, do których mogą się nieautoryzowanie zalogować.
Celem ataku credential stuffing jest uzyskanie dostępu do kont użytkowników, co pozwala na przejęcie wrażliwych danych, takich jak informacje finansowe, wiadomości prywatne, pliki, a także wykorzystanie przejętych kont do dalszych cyberprzestępczych działań, jak rozsyłanie spamu, phishing, czy nawet sprzedaż sprawdzonych par login/hasło innym przestępcom.
Credential stuffing różni się od klasycznych ataków siłowych (brute force), gdzie hakerzy próbują zgadywać hasła, bo tutaj wykorzystują już istniejące, rzeczywiste dane logowania, które okazują się skuteczne, jeśli użytkownicy nie zmienili haseł, lub używają ich na wielu różnych platformach.
