Egyetlen kiszivárgott jelszó ma már nem csak egy fiókot veszélyeztet, akár az összes többihez is hozzáférést biztosíthat a támadóknak. Az úgynevezett credential stuffing támadások során a bűnözők korábbi adatlopásokból származó belépési adatokat próbálgatnak ki más online fiókoknál.
A támadási módszer hatékonyságát jól mutatja, hogy egy friss felmérés szerint az amerikaiak 62%-a be is vallja, hogy gyakran vagy mindig ugyanazokat a jelszavakat használja. Ilyen környezetben egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak vagy akár banki hozzáférések is veszélybe kerülhetnek.
A credential stuffing támadások különösen veszélyesek, mert nem jelszót törnek fel, hanem már meglévő, kiszivárgott vagy ellopott érvényes belépési adatokat használnak. A támadók botokkal és automatizált szkriptekkel próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál. Cikkünk írásakor a haveibeenpwned.com weboldalon több mint 17 milliárd ellopott-kiszivárgott belépési adat található, bárki ellenőrizheti, hogy ő maga érintett volt-e egy korábbi incidensben.
A probléma súlyát jól szemléltetik az elmúlt évek esetei is. 2022-ben a PayPal közel 35 ezer felhasználói fiók kompromittálását jelentette, kizárólag korábbi adatlopásokból származó jelszavak újrafelhasználása miatt.
2024-ben a Snowflake ügyfeleket (felhőalapú adatplatform) érintő támadáshullám során mintegy 165 szervezet fiókjához fértek hozzá támadók, akik infostealer kártevőkkel megszerzett belépési adatokat használtak a szolgáltatás rendszereinek feltörése nélkül.
A credential stuffing technika használatának terjedését az is gyorsítja, hogy az adatlopó kártevők (infostealerek) mennyisége robbanásszerűen nő, miközben a támadók egyre gyakrabban használnak AI támogatott szkripteket, amelyek képesek megkerülni az alapvető botok elleni védelmi megoldásokat. Ide passzol az a tény is, hogy a Chainalysis 2026-os bűnügyi jelentése szerint az MI-vel támogatott csalások 4.5-szer jövedelmezőbbek, mint a hagyományos módszerek.
A credential stuffing támadások azért különösen veszélyesek, mert a támadók sok esetben nem feltörik a rendszereket, hanem egyszerűen belépnek azokba. Ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is visszaköszönhetnek.
Manapság egyre több weboldalon találkozunk azzal az ismerős kérdéssel: "Belépsz Google-lel vagy Apple-lel?" Ezek az úgynevezett többplatformos bejelentkezések kényelmes alternatívát kínálnak a hagyományos regisztráció helyett, aminek egyik legnagyobb előnye, hogy a felhasználó nem adja át jelszavát az adott szolgáltatónak.
A többplatformos bejelentkezés gyors, kényelmes és sok esetben biztonságos megoldás, de tudatos döntést igényel, hogy hol és mikor élünk vele. Ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook azonosítónkhoz (felhasználónév és jelszó), akkor elméletben minden olyan szolgáltatáshoz is hozzzáférhet, amely ehhez a fiókhoz kapcsolódik.
Mikor jó ez a választás? Otthoni, hétköznapi felhasználásra szánt szolgáltatások esetén, alacsony kockázatú szolgáltatások igénybevételekor, olyan platformokon, ahol nem kezelünk érzékeny adatokat vagy ahol a kétfaktoros hitelesítés kötelezően be van kapcsolva.
Jelkulccsal a hagyományos jelszavak helyett az adott eszköz beépített hitelesítési megoldásait tudjuk használni. Ennek köszönhetően akár Gmail-, PayPal- vagy iCloud-fiókba is beléphetünk anélkül, hogy egyetlen jelszót be kellene gépelnünk.
Fontos azonban, hogy ehhez nem elég csupán a készülék oldaláról a támogatás - magának a szolgáltatásnak is kompatibilisnek kell lennie a jelkulcsos belépéssel. Amennyiben ez a feltétel teljesül, a bejelentkezés nemcsak kényelmesebbé, hanem jelentősen biztonságosabbá is válik.
Hogyan védekezhetünk a támadások ellen, illetve hogyan csökkenthető a kockázat néhány alapvető biztonsági lépéssel?
1. Hosszú, egyedi, erős jelszavakat hozzunk létre minden felületen.
2. Ha van rá lehetőség, használjunk jelkulcsot (passkey) a belépéshez, ezek egyediek és biztonságosabbak, nem igénylik jelszó megadását és kevésbé vannak kitéve adathalász csalásoknak.
3. Soha ne használjuk ugyanazt a jelszót több szolgáltatásnál, fióknál. Egy jelszókezelő segít erős, egyedi jelszavak létrehozásában, előhívásában és biztonságos tárolásában.
4. Kapcsoljuk be a kétfaktoros hitelesítést (2FA) mindenhol, ahol elérhető, így a jelszó önmagában már nem elég az illetéktelen belépéshez.
5. Érdemes ellenőrizni, hogy e-mail-címünk vagy jelszavaink szerepeltek-e korábbi adatlopásokban, és érintettség esetén azonnal jelszót cserélni.
A jelszavak újrafelhasználása ma már az egyik legnagyobb biztonsági kockázat. A tudatos jelszóhasználat, a többfaktoros hitelesítés és a jelszómentes megoldások bevezetése nem extra védelem, hanem alapelvárás kell, hogy legyen, mind magánszemélyeknél, mind vállalati környezetben.
Emellett kerülni kell a jelszavak böngészőben való mentését, és gyanakvóan kell kezelni minden olyan kéretlen megkeresést, amely jelszavak megerősítésére vagy megváltoztatására szólít fel.
A credential stuffing ma már az egyik leggyakoribb belépési pont a vállalati fiókok kompromittálásához, amely kiskereskedelmi, pénzügyi, egészségügyi és SaaS (Software as a Service, szoftver mint szolgáltatás) szektorban adatlopáshoz, pénzügyi visszaélésekhez vagy zsarolóvírus-támadásokhoz vezethet, főleg ott, ahol továbbra is csak a jelszavas védelemre támaszkodnak, és nem kötelező a többfaktoros hitelesítés, és a dolgozók ugyanazokat a jelszavakat használják a munkahelyi és a magánfiókjaikhoz.
Szakértők szerint a védekezéshez a sikertelen belépések számának korlátozása (brute force elleni védelem), a szokatlan bejelentkezési minták figyelése, bot és CAPTCHA védelem, erős végpontvédelem, valamint az emberi tényezőből fakadó kockázatok (jelszó újrafelhasználás, ritka jelszócsere, MFA hiánya) csökkentése szükséges, mert akár évekkel ezelőtti adatlopásokból származó hitelesítő adatok is komoly károkat okozhatnak.
