Čo je to credential stuffing? Objavená databáza s takmer 350 tisíc prihlasovacími údajmi do Spotify


Výskumný tím portálu vpnMentor odhalil na internete voľne dostupnú databázu, ktorá obsahovala až 380 miliónov záznamov. Ďalšou analýzou sa podarilo zistiť, že databáza obsahovala takmer 350 tisíc užívateľských prihlasovacích údajov (zahŕňajúcich aj heslo v čitateľnej podobe) do známej, obľúbenej služby Spotify.

Zdroj databázy je aktuálne neznámy, ale je dosť pravdepodobné, že sa jedná o databázu vybudovanú hackerskou skupinou, ktorá bola ďalej používaná na kybernetické útoky. Databáza najskôr vznikla spojením viacerých únikov dát z rôznych webstránok a online služieb. Útočníci sa následne pokúsili použiť prihlasovacie údaje priamo v online službách, okrem iných aj v službe Spotify.

Vďaka tomu sa im podarilo odhaliť až cca. 350 tisíc aktívnych účtov, ktoré nemali zmenené heslo. Portál vpnMentor po odhalení týchto skutočností spolupracoval so spoločnosťou Spotify a následne boli dotknutí užívatelia požiadaní o zmenu hesla.

Čo tento útok ukazuje?

Jedná sa o útok typu „credential stuffing„, kedy útočníci získajú databázu alebo prihlasovacie údaje z jedného zdroja – napríklad zo zle zabezpečenej webstránky alebo online služby, do ktorej sa nabúrajú. Nato útočníci automatizovane skúšajú prihlasovacie údaje aj v iných známych online službách ako sú: emailové schránky (Gmail, Outlook, Yahoo a iné), sociálne siete (Facebook, Twitter, Instagram), finančné služby ako PayPal, rôzne známe online služby (Spotify, Deezer, Netflix, HBOGo) a množstvo ďalších služieb, aby overili, či obeť nepoužíva rovnaké prihlasovacie meno a heslo aj na inej platforme.

Ak sa útočníkom podarí získať prístup do danej online služby, tak sa môžu pokúsiť získať ďalšie osobné údaje o obeti, alebo môžu získaný prístup zneužiť na inú kriminálnu činnosť. Podľa aktuálnych štatistík viac ako polovica (52% – zdroj Sophos) používateľov internetu používa jedno heslo pre viac ako jednu online službu – to znamená, že ak sa útočník dopracuje k prihlasovacím údajom z jednej služby, tak má automaticky prístup aj do iných služieb užívateľa.

Najjednoduchšia a zároveň najefektívnejšia obrana proti „credential stuffingu“ je pestrosť prihlasovacích údajov. Ideálne je mať pre každú službu nastavené originálne heslo a radšej používať zabezpečenú aplikáciu pre správu hesiel ako je napríklad KeePass. Rovnako dôležitá je aj dvojfaktorová autentifikácia, odporúčame ju využívať všade tam, kde je to dostupné.