Credential Stuffing: як працюють витоки паролів

У січні 2024 року команда безпеки SaaS-компанії середнього розміру помітила щось дивне. За один вихідний їхні журнали автентифікації показали 340 000 невдалих спроб входу на порталах для співробітників та клієнтів. Спроби надходили з тисяч IP-адрес, що ротувалися кожні кілька запитів. Сховані в шумі: 47 успішних входів.

Жоден з цих 47 акаунтів не був зламаний брутфорсом. Зловмисники вже мали правильні паролі. Вони купили партію вкрадених облікових даних з витоку 2023 року непов’язаного сервісу, і 47 співробітників використовували ту саму комбінацію електронної пошти та пароля для обох.

Це credential stuffing. Не витончений експлойт. Не zero-day. Просто ставка на те, що люди повторно використовують паролі, і ця ставка окупається приблизно в 0,1%-2% випадків. У масштабі цього достатньо.

Credential stuffing це автоматизована атака, де вкрадені пари логін-пароль з одного витоку даних тестуються на сторінках входу інших сервісів. Зловмисник не вгадує паролі. Він вже має реальні. Йому лише потрібно знайти, де ще ці облікові дані працюють.

Механіка проста. Списки зламаних облікових даних, що містять мільйони комбінацій email/пароль, продаються та обмінюються на маркетплейсах даркнету, іноді менш ніж за $10 за мільйон записів. Зловмисники завантажують ці списки в автоматизовані інструменти, які спробовують входи на сотнях вебсайтів одночасно.

Атака вдається через одну передбачувану людську поведінку: повторне використання паролів. Дослідження Bitwarden 2024 року показало, що 65% людей визнають повторне використання паролів на кількох акаунтах. Реальне число, ймовірно, вище.

Have I Been Pwned, сервіс повідомлень про витоки, який веде Трой Хант, проіндексував понад 13 мільярдів скомпрометованих акаунтів станом на початок 2026 року. Нові витоки додають мільйони записів щомісяця.

Витоки не потребують бути нещодавніми. Витік LinkedIn 2012 року все ще дає дійсні облікові дані, бо люди зберігають ті самі паролі роками.

Один зловмисник з базовими інструментами може тестувати мільйони пар облікових даних на день. Відкриті фреймворки абстрагують технічну складність.

Credential stuffing не виглядає як атака брутфорсом. Кожна окрема спроба входу використовує валідно виглядаючий логін і реальний пароль. Спроби надходять з різних IP-адрес.

Коли credential stuffing вдається, зловмисник отримує доступ до легітимного акаунту з реальними дозволами.

Захоплення корпоративної пошти. Скомпрометований акаунт електронної пошти стає пусковою площадкою для атак компрометації бізнес-пошти.

Розкриття даних клієнтів. Якщо скомпрометований акаунт має доступ до записів клієнтів, інцидент стає витоком даних з вимогами регуляторного повідомлення.

Латеральне переміщення. Зловмисники використовують початковий плацдарм для дослідження внутрішніх систем. Скомпрометований акаунт співробітника часто є першим кроком в інциденті з ransomware.

Фінансове шахрайство. В електронній комерції та фінансових послугах credential stuffing веде безпосередньо до несанкціонованих покупок та крадіжки балансу.

Звіт Verizon Data Breach Investigations Report 2024 виявив, що вкрадені облікові дані були початковим вектором атаки у 31% всіх зломів.

Відвідайте haveibeenpwned.com і пошукайте ваші робочі та особисті адреси електронної пошти. Якщо ваша пошта з’являється у витоці, вважайте, що пароль, який ви використовували на тому сервісі, тепер публічний.

Більшість корпоративних менеджерів паролів включають панель безпеки, що перехресно перевіряє ваші збережені облікові дані з відомими витоками.

Переконайтеся, що ви зареєстровані в будь-якому моніторингу, який надає ваша компанія.

Це єдиний найефективніший захист від credential stuffing. Менеджер паролів генерує унікальний, випадковий пароль для кожного акаунту та запам’ятовує його за вас.

Менеджери паролів також функціонують як інструмент виявлення фішингу. Оскільки автозаповнення є доменно-обізнаним, менеджер не запропонує облікові дані на підробленій сторінці входу.

Якщо пароль існує в двох місцях, credential stuffing може їх з’єднати. Мета: нуль повторного використання.

MFA не запобігає спробам credential stuffing, але зупиняє їхній успіх. Навіть коли зловмисник має правильний пароль, він не може завершити вхід без другого фактора.

Не всі MFA однаково сильні. SMS-коди можуть бути перехоплені через SIM swapping. Додатки-автентифікатори кращі. Апаратні ключі безпеки найсильніший варіант.

Наша вправа з налаштування MFA допомагає співробітникам налаштувати найсильніший варіант.

Коли сервіс повідомляє вас про витік, негайно змініть постраждалий пароль. Потім перевірте, чи ви використовували його деінде.

Географічна неможливість. Акаунт співробітника входить з Нью-Йорка о 9:00 і з Москви о 9:05. Жодна людина не може подорожувати так швидко.

Пікові показники відмов. Раптовий сплеск невдалих спроб входу на кількох акаунтах, за яким слідує невелика кількість успіхів, є класичною сигнатурою credential stuffing.

Активність у неробочий час. Спроби входу о 3:00 ночі на акаунтах, які зазвичай автентифікуються в робочий час.

Менш очевидний ризик: якщо зловмисник отримує доступ до акаунту, він також може змінити налаштування відновлення. Вони додають свій номер телефону для скидання пароля, реєструють новий пристрій MFA або змінюють електронну адресу відновлення.

Ось чому безпека відновлення акаунту має значення. Перевіряйте налаштування відновлення проактивно, а не лише після інциденту.

Витік, що розкриває пароль співробітника, часто стався на особистому сервісі: стрімінговій платформі, ігровому сайті, додатку доставки їжі. Роботодавець не мав контролю над практиками безпеки того сервісу. Але в момент, коли співробітник повторно використовує свій корпоративний пароль на тому особистому акаунті, організація успадковує ризик.

Тіньовий IT погіршує цю проблему: кожен неавторизований SaaS-інструмент, на який співробітник реєструється зі своєю корпоративною поштою, це ще один акаунт, де повторне використання пароля створює вразливість.

Обізнаність сама по собі не зупиняє credential stuffing. Для детальнішого погляду на побудову комплексної програми паролів, перегляньте наш посібник з навчання безпеці паролів.

Зробіть це конкретним. Покажіть співробітникам, як насправді виглядає список зламаних облікових даних. Дайте їм пошукати власні пошти в базах витоків.

Надайте інструменти. Казати співробітникам використовувати унікальні паролі без надання менеджера паролів це як казати їм замикати двері, не давши ключ.

Симулюйте атаку. Наша вправа з обізнаності credential stuffing ставить співробітників у центр живого інциденту credential stuffing.

Побачте credential stuffing з перспективи зловмисника. Спробуйте нашу безкоштовну вправу з обізнаності credential stuffing і потренуйтеся ідентифікувати скомпрометовані акаунти. Для ширшого охоплення перегляньте наш каталог навчання з кібербезпеки з вправами з управління паролями, налаштування MFA та безпеки відновлення акаунтів.