Gestolen inloggegevens worden op grote schaal ingezet door criminelen die ermee proberen in te loggen bij andere diensten. Veel mensen gebruiken hetzelfde wachtwoord op meerdere sites, dus een buitgemaakte LinkedIn-inlog werkt misschien ook wel op een andere webdienst. Credential stuffing is volgens Akamai's State of Internet Security-rapport (PDF) enorm toegenomen.

Gratis tooling

Credential stuffing komt er kort gezegd op neer dat er een heleboel inloggegevens worden uitgeprobeerd om in te loggen op een systeem. Meestal worden de aanvallen gericht op authenticatie-API's, maar ook geregeld wordt credential stuffing bij bijvoorbeeld een inlogportal gebruikt. Akamai wijst erop dat de methode is verre van nieuw is, maar enorm gegroeid is in populariteit.

Diverse schimmige aanbieders bieden kant-en-klare oplossingen voor criminelen om een credential stuffing-aanval uit te voeren, tegen enkele tientjes en in sommige gevallen is er zelfs gratis tooling om deze techniek toe te passen. Als een account op deze manier succesvol wordt overgenomen, wordt de toegang weer doorverkocht aan een andere criminele partij.

Omvang van het probleem

Populaire sites krijgen te maken met tientallen miljoenen malafide inlogpogingen per jaar, zo staat te lezen in het rapport. In totaal merkte de internetgigant 61 miljard credential stuffing-pogingen op in een periode van achttien maanden. In de VS en Rusland is het probleem het grootst, met respectievelijk bijna 20 miljard en meer dan 5 miljard malafide inlogpofingen in die periode, Nederland staat 'slechts' op de twaalfde plek met bijna 1,4 miljard.


Bron: State of the Internet / Security - door Akamai