Credential stuffing is the practice of using stolen login information from one account to gain access to accounts on a number of sites through automated login. O exploit pode permitir que hackers e compradores de credenciais roubadas acessem não apenas as contas dos sites dos quais foram roubadas, mas qualquer conta onde a vítima usa a mesma senha.
Após obter credenciais para vários sites, um hacker pode vender uma lista de IDs de usuário, senhas e endereços de e-mail. É comum que estas listas sejam vendidas no subsolo ou na teia escura. Quer as listas sejam vendidas ou usadas pelo próprio hacker, é provável que o detentor dos detalhes da conta queira obter o máximo de valor possível das contas.
P>Even embora uma única conta tenha sido violada, isso pode levar ao comprometimento simultâneo de outros sites usados pela vítima, pois as credenciais são inseridas para vários sites usando logins automatizados. O atacante muitas vezes compromete várias contas antes que o usuário saiba que sua conta para qualquer site foi violada.
O recheio de credenciais é uma séria ameaça, tanto para os consumidores quanto para as empresas, que podem perder dinheiro, direta ou indiretamente. No varejo no Reino Unido, alega-se que mais de 90% dos logins vêm de ataques de recheio de credenciais e não de usuários autênticos. A eliminação desses logins poderia ter um impacto significativo na diminuição do enchimento de credenciais.
Da perspectiva do usuário final, é recomendado criar senhas diferentes e suficientemente fortes para cada site. Para o site ou provedor de serviços, ferramentas como o Shape Security's Blackfish ou Fortinet's Fortiguard podem ajudar a combater o recheio de credenciais.