Η χρήση του ίδιου κωδικού πρόσβασης σε πολλαπλές υπηρεσίες παραμένει μια από τις πιο διαδεδομένες πρακτικές των χρηστών, αλλά ταυτόχρονα αποτελεί και το βασικό «καύσιμο» για μία από τις πιο αποδοτικές τεχνικές κυβερνοεπίθεσης: το credential stuffing.

Η επαναχρησιμοποίηση κωδικών πρόσβασης μετατρέπει κάθε διαρροή δεδομένων σε πολλαπλή απειλή

«Όταν ένα site παραβιάζεται, οι κυβερνοεγκληματίες δεν σταματούν εκεί», εξηγεί η ESET. «Παίρνουν τα κλεμμένα διαπιστευτήρια και τα δοκιμάζουν αυτόματα σε χιλιάδες άλλα site. Αυτό είναι το credential stuffing».

Πρόκειται για μια μέθοδο που δεν βασίζεται στο “σπάσιμο” κωδικών, αλλά στην εκμετάλλευση υπαρκτών συνηθειών: οι ίδιοι κωδικοί, σε πολλά διαφορετικά ψηφιακά περιβάλλοντα. Στην πράξη, οι επιτιθέμενοι αποκτούν λίστες με usernames και passwords από παλαιότερες παραβιάσεις δεδομένων ή από κακόβουλο λογισμικό τύπου infostealer, το οποίο αντλεί διαπιστευτήρια απευθείας από παραβιασμένες συσκευές και browsers.

Στη συνέχεια, μέσω αυτοματοποιημένων εργαλείων, δοκιμάζουν αυτά τα στοιχεία σε email, social media, τραπεζικούς λογαριασμούς και e-shops. Αρκεί ένας κωδικός να «δουλέψει» σε μία μόνο υπηρεσία για να αποκτήσουν πραγματική πρόσβαση.

Για τον απλό χρήστη, η απειλή αυτή είναι ύπουλη. Ο λογαριασμός του μπορεί να παραβιαστεί χωρίς να έχει κάνει κάποιο λάθος εκείνη τη στιγμή, ακόμη κι αν η πλατφόρμα που χρησιμοποιεί είναι τεχνικά ασφαλής. Το credential stuffing λειτουργεί σαν ένα «κλειδί γενικής χρήσης» που ανοίγει ταυτόχρονα το σπίτι, το γραφείο και το χρηματοκιβώτιο. Και, όπως τονίζει η ESET, η απόκτηση αυτού του κλειδιού είναι συχνά εύκολη και φθηνή.

Επαναχρησιμοποίηση κωδικών

Η έκταση του προβλήματος αποτυπώνεται και σε αριθμούς. Σύμφωνα με έρευνα της NordPass, το 62% των Αμερικανών παραδέχεται ότι επαναχρησιμοποιεί τον ίδιο κωδικό πρόσβασης «συχνά» ή «πάντα». Το ποσοστό αυτό εξηγεί γιατί η τεχνική παραμένει τόσο αποτελεσματική και κερδοφόρα για τους επιτιθέμενους.

Χαρακτηριστικά είναι και τα πρόσφατα περιστατικά μεγάλης κλίμακας. Το 2022, η PayPal ανακοίνωσε ότι σχεδόν 35.000 λογαριασμοί πελατών παραβιάστηκαν μέσω credential stuffing, χωρίς να έχει παραβιαστεί η ίδια η πλατφόρμα.

Οι δράστες αξιοποίησαν διαπιστευτήρια από παλαιότερες διαρροές, εκμεταλλευόμενοι την επαναχρησιμοποίηση κωδικών. Αντίστοιχα, το 2024, το κύμα επιθέσεων που αφορούσε πελάτες της Snowflake επηρέασε περίπου 165 εταιρείες. Και εδώ, η πλατφόρμα δεν παραβιάστηκε, καθώς οι επιτιθέμενοι χρησιμοποίησαν κλεμμένα credentials από infostealer malware, οδηγώντας ακόμη και σε απαιτήσεις λύτρων.

Η απειλή δεν περιορίζεται στους ιδιώτες. Σήμερα, η παραβίαση διαπιστευτηρίων αποτελεί βασικό παράγοντα για απάτη και κλοπή δεδομένων σε κλάδους όπως το λιανικό εμπόριο, ο χρηματοοικονομικός τομέας, το SaaS και η υγειονομική περίθαλψη. Παρ’ όλα αυτά, πολλές επιχειρήσεις συνεχίζουν να βασίζονται αποκλειστικά σε κωδικούς πρόσβασης, ενώ η ταυτοποίηση δύο παραγόντων, ακόμη και όταν υπάρχει, δεν εφαρμόζεται υποχρεωτικά.

Η μετάβαση σε αυθεντικοποίηση χωρίς κωδικό, όπως τα passkeys, θα μπορούσε να καταστήσει το credential stuffing ουσιαστικά αναποτελεσματικό. Ωστόσο, η υιοθέτηση αυτών των λύσεων παραμένει άνιση, ενώ εκατομμύρια διαρρεύσαντα διαπιστευτήρια παραμένουν ενεργά για μεγάλο χρονικό διάστημα.

Έτσι, το credential stuffing εξακολουθεί να είναι μια χαμηλού κόστους, εξαιρετικά επεκτάσιμη και σταθερά αποδοτική μέθοδος επίθεσης.

Μέχρι να καταργηθούν πλήρως οι κωδικοί πρόσβασης, η άμυνα παραμένει στα χέρια χρηστών και οργανισμών. Η χρήση μοναδικών κωδικών, η ενεργοποίηση 2FA και η συνεχής εγρήγορση δεν αποτελούν πλέον καλές πρακτικές, αλλά αναγκαία προϋπόθεση ψηφιακής επιβίωσης.