Il credential stuffing è la pratica di utilizzare le informazioni di accesso rubate da un account per ottenere l'accesso agli account su un numero di siti tramite accesso automatico. L'exploit può consentire agli hacker e a coloro che acquistano credenziali rubate di accedere non solo agli account dai siti da cui sono stati rubati, ma a qualsiasi account in cui la vittima utilizza la stessa password.
Dopo aver ottenuto le credenziali per una serie di siti, un hacker potrebbe vendere un elenco di ID utente, password e indirizzi e-mail. È comune che queste liste vengano vendute in metropolitana o nel dark web. Indipendentemente dal fatto che gli elenchi vengano venduti o utilizzati dagli stessi hacker, è probabile che il titolare dei dettagli dell'account desideri ottenere il maggior valore possibile dagli account.
Anche se un singolo account è stato violato, può portare alla compromissione simultanea di altri siti utilizzati dalla vittima perché le credenziali vengono immesse per più siti utilizzando accessi automatici. L'autore dell'attacco spesso compromette più account prima che l'utente si accorga che il proprio account per qualsiasi sito è stato violato.
Il credential stuffing è una seria minaccia sia per i consumatori che per le aziende, che rischiano di perdere denaro, direttamente o indirettamente. Nella vendita al dettaglio nel Regno Unito, si afferma che oltre il 90% degli accessi proviene da attacchi di credential stuffing piuttosto che da utenti autentici. L'eliminazione di questi accessi potrebbe avere un impatto significativo sulla riduzione del riempimento delle credenziali.
Dal punto di vista dell'utente finale, si consiglia di creare password diverse e sufficientemente complesse per ogni sito. Per il sito o il fornitore di servizi, strumenti come Blackfish di Shape Security o Fortiguard di Fortinet possono aiutare a combattere il credential stuffing.