Hitelesítő adatok továbbvitele (Credential Stuffing)

Mi az, hogy Hitelesítő adatok továbbvitele (Credential Stuffing)?

Hitelesítő adatok továbbvitele (Credential Stuffing) definíció és magyarázat.

A hitelesítő adatokhoz kapcsolódó fenyegetések és támadások az egyik legszélesebb körben használt módszerek a támadók körében. A hitelesítő adatok továbbvitele (Credential Stuffing) egy olyan technika, amelyben ellopott vagy más módon veszélybe került fiókadatokat—általában adatbázis vagy lista formájában—használnak jogosulatlan hozzáférés megszerzésére erősen skálázható automatizált folyamatok segítségével.
A Credential Stuffing egy olyan típusú kibertámadás, amely során ellopott fiókadatokból, például felhasználónevekből és e-mail címekből álló listákat alkalmaznak. A hozzájuk tartozó jelszavakat (amelyek gyakran adatvédelmi incidensekből származnak) nagyszabású automatizált bejelentkezési kérések révén használják fel webalkalmazások ellen. A Credential Stuffing támadások, ellentétben a jelszófeltöréssel (Credential Cracking), nem próbálnak meg brute-force vagy jelszót találgatni. A támadók egyszerűen automatizálják a bejelentkezéseket nagyszámú (ezrek vagy akár milliók) korábban felfedezett hitelesítő pár esetében szabványos webes automatizációs eszközök, például Selenium, cURL, PhantomJS, vagy kifejezetten ezekhez a támadásokhoz készült eszközök, mint a Sentry MBA, SNIPR, STORM, Blackbullet és Openbullet segítségével. A Credential Stuffing támadások azért lehetségesek, mert sok felhasználó ugyanazt a felhasználónév/jelszó kombinációt használja több webhelyen. Egy felmérés szerint a felhasználók 81%-a újrahasznált jelszót két vagy több weboldalon, és 25%-uk ugyanazt a jelszót használja fiókjai többségében.

—Wikipedia

A hekkertámadások több mint 80%-a brute force vagy elveszett vagy ellopott hitelesítő adatok használatát foglalja magában.

—Verizon 2020 Data Breach Investigations Report

Az Akamai által megfigyelt bejelentkezések 43%-a arra irányult, hogy egy fiókba más weboldalakról begyűjtött adatokkal vagy jelszótalálgatással jelentkezzenek be.

—Akamai State of the Internet Q4 2017

2018. január 1. és 2019. december 31. között az Akamai több mint 88 milliárd Credential Stuffing támadást rögzített az összes iparágban. Ha konkrétan a médiaszektort nézzük (beleértve a streaming médiát, televíziós hálózatokat, kábelhálózatokat, műsorszórást, valamint a digitális kiadást és hirdetést), ez a szám körülbelül 17 milliárd, vagyis az összes támadás mintegy 20%-a.

—Akamai blog

Fogalomtár
Kapcsolódó blogbejegyzéseink
Anatomy of Credential Stuffing Attacks
March 16, 2021
Anatomy of Credential Stuffing Attacks

Learn how credential stuffing exploits weak passwords to breach accounts and how to mitigate it.

Credential Stuffing in the Media Industry aka. "date-night offers"
July 19, 2020
Credential Stuffing in the Media Industry aka. "date-night offers"

Credential stuffing attacks in media expose vulnerabilities through reused credentials and leaks.

Anatomy of Account Takeover Attacks
April 26, 2021
Anatomy of Account Takeover Attacks

Understand how account takeover attacks work and strategies to prevent them.

A Scirge-ről
Átláthatóság a Shadow IT-felhasználásban

A Scirge eszközöket biztosít a szervezetek számára a Shadow IT felfedezéséhez és kezeléséhez azáltal, hogy nyomon követi, hol és hogyan használják a vállalati hitelesítő adatokat SaaS-alkalmazásokban, beszállítói portálokon, GenAI eszközöknél és más webalkalmazásokban. Segít felfedezni a Shadow SaaS-t és Shadow AI-t, valamint azonosítani az olyan kockázatokat, mint a céges jelszó újrahasználata, a megosztott fiókok és az adathalászat, miközben valós idejű figyelmeztetéseket, automatizált munkafolyamatokat és azonnal hasznosítható elemzéseket nyújt.

Akik már minket választottak
Többé nem láthatatlan
a Shadow IT.
a Shadow AI.
a SaaS appok tömkelege.
a GenAI appok használata.
a digitális szállítói lánc.
a céges jelszó újrafelhasználás.
a megosztott hozzáférés.
a sikeres adathalászat.
az SSO használat.
a gyenge jelszavak használata.
az átfedő szolgáltatások használata.
Kapcsolat
Shadow IT és SaaS Átláthatóság
Felhő- és Vállalati Identitásvédelem
Szabályozási Megfelelőség és Irányítás
Cégünkről
Product
KezdőlapFunkciókÁrképzés
Shadow IT and SaaS Discovery
Shadow IT Láthatóság és Monitorozás
Felhőalkalmazások és Felhőidentitások Nyilvántartása
Kliens Nélküli Visszamenőleges Shadow IT Audit
Shadow IT and SaaS Security
Jelszavak Védelme Vállalati és Felhőidentitásokhoz
Dolgozói Oktatás és Elköteleződés
Adathalászat-felderítés és Figyelemfelkeltés
Identity Governance
Megfelelőség a Shadow IT és Shadow AI Monitorozásával
Digitális Eszközkezelés és Szállítói Lánc Ellenőrzés
Felhőidentitás-életciklus Kezelése
Resources
BlogFogalomtár
Company
RólunkKapcsolatAdatvédelmi irányelvek
Shedding Light on Shadow IT
© Scirge, 2025
Close Cookie Popup
Cookie settings
By clicking "Accept all cookies", you agree to storing cookies on your device to enhance site navigation, analyze site usage and assist in our marketing efforts as outlined in our privacy policy.
Accept all cookiesCookie settings
Close Cookie Preference Manager
Cookie settings
By clicking 'Accept all cookies', you agree to storing cookies on your device to enhance site navigation, analyze site usage and assist in our marketing efforts as outlined in our privacy policy.
Strictly necessary (always active)
Cookies required to enable basic website functionality.
Accept all cookiesSave settings