Egyetlen kiszivárgott jelszó ma már sokkal többet jelent egy kellemetlen incidensnél: akár minden online fiókunk egyszerre válhat támadhatóvá. Az ESET kiberbiztonsági szakértői arra figyelmeztetnek, hogy az úgynevezett credential stuffing támadások során a bűnözők korábbi adatlopásokból származó belépési adatokat próbálnak ki más szolgáltatásoknál, és meglepően gyakran járnak sikerrel. Ennek oka egyszerű: rengetegen ugyanazt a jelszót használják több helyen is, így ha egyetlen rendszerből kiszivárog az adat, dominószerűen dőlhetnek a fiókok.
A módszer hatékonyságát jól mutatja, hogy egy friss felmérés szerint az amerikai felhasználók 62 százaléka gyakran vagy mindig ugyanazokat a jelszavakat használja különböző platformokon. Ilyen környezetben nem kell bonyolult hackelés: a támadók egyszerűen automatizált botokkal próbálják végig a megszerzett adatpárokat, és ahol működik, máris bejutnak. A haveibeenpwned.com adatbázisa ma már több mint 17 milliárd kiszivárgott belépési adatot tartalmaz, és bárki ellenőrizheti, hogy korábban érintett volt-e adatlopásban. Az elmúlt évek példái is jól mutatják a probléma súlyát. A PayPal 2022-ben közel 35 ezer fiók kompromittálását jelentette, kizárólag a jelszavak újrafelhasználása miatt, míg a Snowflake ügyfeleit érintő 2024-es támadások során mintegy 165 szervezet adatai kerültek veszélybe, anélkül hogy magát a rendszert feltörték volna. A támadók egyszerűen ellopott hitelesítő adatokat használtak.
A helyzetet tovább súlyosbítja, hogy az adatlopó kártevők száma robbanásszerűen nő, és az automatizált támadásokat ma már AI-alapú megoldások segítik, amelyek képesek megkerülni az alapvető botvédelmi rendszereket. A szakértők szerint ma már sok esetben nem technikai gyengeségek jelentik a kockázatot, hanem az emberi szokások.
Közben egyre többen választják az olyan gyors bejelentkezési megoldásokat, mint a Google-, Apple- vagy Facebook-fiókkal történő belépés. Ezek valóban kényelmesek, és sok esetben biztonságosabbak is, hiszen a jelszót nem adjuk át közvetlenül a szolgáltatásnak. Ugyanakkor ha a központi fiók kompromittálódik, minden hozzá kapcsolt szolgáltatás veszélybe kerülhet. Éppen ezért ezek a megoldások inkább alacsonyabb kockázatú szolgáltatásoknál ajánlottak, lehetőleg bekapcsolt kétfaktoros hitelesítéssel.
A jövő egyre inkább a jelszómentes megoldások felé mutat. A jelkulcsok vagy passkey-k lehetővé teszik, hogy biometrikus azonosítással vagy eszközszintű hitelesítéssel lépjünk be anélkül, hogy jelszót kellene megadnunk. Ez nemcsak kényelmesebb, hanem biztonságosabb is, hiszen a megoldás kevésbé sebezhető az adathalászattal szemben. A szakértők szerint a védekezés alapja továbbra is a tudatosság. Minden fiókhoz érdemes egyedi és erős jelszót használni, jelszókezelővel segíteni a tárolást, bekapcsolni a kétfaktoros hitelesítést, és időnként ellenőrizni, hogy adataink nem szerepelnek-e kiszivárgott listákon. Emellett ajánlott kerülni a jelszavak böngészőben történő mentését és óvatosan kezelni minden olyan megkeresést, amely jelszó módosítására vagy megerősítésére kér.
A credential stuffing ma már nemcsak magánfelhasználói probléma, hanem komoly üzleti kockázat is. A vállalatoknál egyetlen kompromittált fiók adatlopáshoz, pénzügyi visszaéléshez vagy akár zsarolóvírus-támadáshoz vezethet. Az ESET szerint ezért elengedhetetlen a sikertelen belépések korlátozása, a szokatlan aktivitás figyelése, a botvédelmi megoldások és a végpontvédelem alkalmazása.