A támadási módszer hatékonyságát jól mutatja, hogy egy friss felmérés szerint az amerikaiak 62%-a be is vallja, hogy „gyakran” vagy „mindig” ugyanazokat a jelszavakat használja. Ilyen környezetben egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak vagy akár banki hozzáférések is veszélybe kerülhetnek.

 

Nem feltörik, hanem egyszerűen belépnek

 

A credential stuffing támadások különösen veszélyesek, mert nem jelszót törnek fel, hanem már meglévő, érvényes belépési adatokat használnak. A támadók botokkal és automatizált szkriptekkel próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál. Cikkünk írásakor a haveibeenpwned.com weboldalon több mint 17 milliárd ellopott-kiszivárgott belépési adat található, bárki ellenőrizheti, hogy ő maga érintett volt-e egy korábbi incidensben.

 

A probléma súlyát jól szemléltetik az elmúlt évek esetei is:

 

• 2022-ben a PayPal közel 35 ezer felhasználói fiók kompromittálását jelentette, kizárólag korábbi adatlopásokból származó jelszavak újrafelhasználása miatt.

 

• 2024-ben a Snowflake-ügyfeleket (felhőalapú adatplatform) érintő támadáshullám során mintegy 165 szervezet fiókjához fértek hozzá támadók, akik infostealer kártevőkkel megszerzett belépési adatokat használtak a szolgáltatás rendszereinek feltörése nélkül.

 

Az automatizáció és az AI tovább növeli a kockázatot

 

A credential stuffing technika használatának terjedését az is gyorsítja, hogy az adatlopó kártevők (infostealerek) mennyisége robbanásszerűen nő, miközben a támadók egyre gyakrabban használnak AI-támogatott szkripteket, amelyek képesek megkerülni az alapvető botok elleni védelmi megoldásokat.

 

„A credential stuffing támadások azért különösen veszélyesek, mert a támadók sok esetben nem feltörik a rendszereket, hanem egyszerűen belépnek azokba. Ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is visszaköszönhetnek” – mondta Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője.

 

Forrás: Freepik

 

Egy kattintásos kényelem vagy rejtett kockázat? 

 

Manapság egyre több weboldalon találkozunk azzal az ismerős kérdéssel: „Belépsz Google-lel vagy Apple-lel?” Ezek az úgynevezett többplatformos bejelentkezések kényelmes alternatívát kínálnak a hagyományos regisztráció helyett, aminek egyik legnagyobb előnye, hogy a felhasználó nem adja át jelszavát az adott szolgáltatónak. Ez elsőre megnyugtatónak hangzik – és sok esetben valóban az.

 

Miben rejlik a kockázat?

 

A többplatformos bejelentkezés gyors, kényelmes és sok esetben biztonságos megoldás, de tudatos döntést igényel, hogy hol és mikor élünk vele.

 

Ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook-azonosítónkhoz (felhasználónév és jelszó), akkor elméletben minden olyan szolgáltatáshoz is hozzzáférhet, amely ehhez a fiókhoz kapcsolódik.

 

Mikor jó választás?

 

• otthoni, hétköznapi felhasználásra szánt szolgáltatások esetén

• alacsony kockázatú szolgáltatások igénybevételekor

• olyan platformokon, ahol nem kezelünk érzékeny adatokat

• ahol a kétfaktoros hitelesítés kötelezően be van kapcsolva

 

Mi az a jelkulcs?

 

Jelkulccsal a hagyományos jelszavak helyett az adott eszköz beépített hitelesítési megoldásait tudjuk használni. Ennek köszönhetően akár Gmail-, PayPal- vagy iCloud-fiókba is beléphetünk anélkül, hogy egyetlen jelszót be kellene gépelnünk.

 

Fontos azonban, hogy ehhez nem elég csupán a készülék oldaláról a támogatás – magának a szolgáltatásnak is kompatibilisnek kell lennie a jelkulcsos belépéssel. Amennyiben ez a feltétel teljesül, a bejelentkezés nemcsak kényelmesebbé, hanem jelentősen biztonságosabbá is válik.

 

 

Hogyan védekezhetünk a támadások ellen?

 

Az ESET szakértői szerint a kockázat jelentősen csökkenthető néhány alapvető biztonsági lépéssel:

 

1. Hosszú, egyedi, erős jelszavakat hozzunk létre minden felületen.

 

2. Ha van rá lehetőség, használjunk jelkulcsot (passkey) a belépéshez, ezek egyediek és biztonságosabbak, nem igénylik jelszó megadását és kevésbé vannak kitéve adathalász csalásoknak.

 

3. Soha ne használjuk ugyanazt a jelszót több szolgáltatásnál, fióknál. Egy jelszókezelő segít erős, egyedi jelszavak létrehozásában, előhívásában és biztonságos tárolásában.

 

4. Kapcsoljuk be a kétfaktoros hitelesítést (2FA) mindenhol, ahol elérhető, így a jelszó önmagában már nem elég az illetéktelen belépéshez.

 

5. Érdemes ellenőrizni, hogy e-mail-címünk vagy jelszavaink szerepeltek-e korábbi adatlopásokban, és érintettség esetén azonnal jelszót cserélni.

 

„A jelszavak újrafelhasználása ma már az egyik legnagyobb biztonsági kockázat. A tudatos jelszóhasználat, a többfaktoros hitelesítés és a jelszómentes megoldások bevezetése nem extra védelem, hanem alapelvárás kell, hogy legyen, mind magánszemélyeknél, mind vállalati környezetben” – tette hozzá Csizmazia-Darab István. Emellett kerülni kell a jelszavak böngészőben való mentését, és gyanakvóan kell kezelni minden olyan kéretlen megkeresést, amely jelszavak megerősítésére vagy megváltoztatására szólít fel.

 

A vállalatok számára üzleti kockázattá vált a jelszóhasználat

 

A credential stuffing ma már nem csupán egyéni felhasználókat érintő probléma, hanem az egyik leggyakoribb belépési pont a vállalati fiókok kompromittálásához, amely súlyos üzleti következményekkel járhat. A támadások célpontjai között egyaránt megtalálhatók a kiskereskedelmi, pénzügyi, egészségügyi és SaaS-szektor szereplői (felhőalapú szoftverszolgáltatás), ahol egyetlen feltört felhasználói fiók adatlopáshoz, pénzügyi visszaélésekhez vagy akár zsarolóvírus-támadásokhoz vezethet.

 

Sok szervezet még mindig kizárólag jelszavas hitelesítésre támaszkodik, vagy nem teszi kötelezővé a többfaktoros hitelesítést – még akkor sem, ha az technikailag már rendelkezésre áll. Ez ideális környezetet teremt a credential stuffing támadások számára, különösen akkor, ha a dolgozók munkahelyi és magáncélú fiókjaikhoz is ugyanazokat a jelszavakat használják.

 

Az ESET szakértői szerint a vállalatoknak érdemes korlátozniuk a sikertelen belépési kísérletek számát (brute force elleni védelem), figyelniük a szokatlan bejelentkezési mintákat – például földrajzilag eltérő vagy automatizált próbálkozásokat –, valamint botvédelmi és CAPTCHA-megoldásokat alkalmazni az automatizált visszaélések kiszűrésére. Kiemelten fontos a végpontvédelem és az infostealer kártevők elleni védekezés is, mivel gyakran ezek az illetéktelen belépési adatok elsődleges forrásai.

 

A credential stuffing azért különösen hatékony támadási módszer, mert nem technológiai gyengeségeket, hanem az emberi tudatosság hiányát használja ki. A jelszavak újrafelhasználása, a ritka jelszócsere és a többfaktoros hitelesítés hiánya lehetővé teszi, hogy egy – akár évekkel ezelőtti – adatlopás később is komoly károkat okozzon.

 

 

English Summary

Credential stuffing attacks allow criminals to access multiple accounts using stolen login credentials from previous data breaches, without needing to crack passwords. These attacks are highly effective because many people reuse the same password across different services, meaning one leaked password can compromise email, social media, shopping, or even banking accounts. Attackers use automated bots and AI-powered scripts to test stolen credentials on various platforms, and billions of leaked login records are already available online. The risk is increasing due to the rapid growth of infostealer malware and improved automation tools that help attackers bypass basic security protections. While convenient, multi-platform logins (such as using Google or Apple accounts) can also create a single point of failure if the main account is compromised. Experts recommend using strong, unique passwords, enabling two-factor authentication, adopting passkeys, and checking whether your credentials have been exposed in past breaches to reduce the risk.