Credential stuffing is geen nieuw fenomeen, maar het blijft opvallend effectief. Ondanks jaren aan waarschuwingen blijven gebruikers dezelfde wachtwoorden hergebruiken, waardoor aanvallers met minimale inspanning maximale toegang krijgen.
Wat credential stuffing echt is
Bij credential stuffing gebruiken aanvallers gelekte inloggegevens uit eerdere datalekken om automatisch in te loggen op andere platforms. In plaats van te hacken, testen ze simpelweg combinaties van e-mailadressen en wachtwoorden op grote schaal.
Dit mechanisme sluit direct aan op hoe gegevens uit datalekken worden misbruikt, zoals eerder beschreven op deze analyse.
Waarom het zo goed werkt
Wachtwoordhergebruik als systeemfout
Gebruikers hergebruiken wachtwoorden massaal. Eén lek betekent daardoor toegang tot meerdere accounts. Volgens het NCSC blijft hergebruik van wachtwoorden een structureel probleem dat accountovername goedkoper maakt voor aanvallers.
Automatisering en botnets
Aanvallers gebruiken botnets en scripts om duizenden inlogpogingen per seconde uit te voeren. Deze pogingen lijken vaak legitiem, omdat ze echte gegevens gebruiken in plaats van willekeurige wachtwoorden.
Gebrek aan detectie
Veel systemen herkennen credential stuffing niet direct als aanval. Pogingen komen van verschillende IP-adressen en lijken op normale login-activiteit, waardoor traditionele blokkades tekortschieten.
Credential stuffing is geen brute force aanval, maar een efficiënt hergebruik van bestaande fouten in menselijk gedrag.
De rol van datalekken
Zonder datalekken bestaat credential stuffing niet. Gegevens circuleren op marktplaatsen en in verzamelingen van eerder buitgemaakte accounts. Het OWASP-overzicht beschrijft hoe zulke datasets voortdurend worden hergebruikt en gecombineerd.
Wie wil begrijpen waarom zulke gegevens economisch waardevol blijven, ziet in dit eerdere stuk hoe gelekte persoonsgegevens veranderen in een crimineel verdienmodel.
Waarom dit probleem blijft bestaan
Credential stuffing is hardnekkig omdat het afhankelijk is van menselijk gedrag, niet alleen van technische kwetsbaarheden. Zolang wachtwoordhergebruik normaal blijft, blijft deze aanvalsvector effectief en schaalbaar groeien, ook naast andere beveiligingsontwikkelingen zoals besproken in de analyse over AI en kwetsbaarheden.
Nieuwe datalekken voegen continu brandstof toe aan bestaande datasets, waardoor oude inloggegevens jaren later nog steeds waardevol blijven in geautomatiseerde aanvalsketens.
