Ο κίνδυνος της επαναχρησιμοποίησης κωδικών: Το “credential stuffing” απειλεί ψηφιακούς λογαριασμούς
Πώς η συνήθεια των χρηστών να χρησιμοποιούν τον ίδιο κωδικό σε πολλές υπηρεσίες γίνεται «λάφυρο» για τους κυβερνοεγκληματίες.
Η επαναχρησιμοποίηση του ίδιου κωδικού πρόσβασης σε πολλαπλές διαδικτυακές υπηρεσίες, μια πρακτική που παραμένει εξαιρετικά δημοφιλής, αποτελεί ταυτόχρονα το «καύσιμο» για μία από τις πιο αποτελεσματικές τεχνικές κυβερνοεπίθεσης: το credential stuffing. Αυτή η μέθοδος εκμεταλλεύεται την αδράνεια των χρηστών, καθιστώντας κάθε διαρροή δεδομένων πολλαπλή απειλή.
Οι κυβερνοεγκληματίες, όπως επισημαίνει η ESET, δεν περιορίζονται σε μία μόνο παραβίαση. Μετά την εισβολή σε μια υπηρεσία, συλλέγουν τα κλεμμένα διαπιστευτήρια και τα δοκιμάζουν μαζικά σε χιλιάδες άλλες πλατφόρμες. Το credential stuffing δεν βασίζεται στο «σπάσιμο» κωδικών, αλλά στην εκμετάλλευση της συνηθισμένης πρακτικής των χρηστών να χρησιμοποιούν τους ίδιους κωδικούς σε πολλαπλά ψηφιακά περιβάλλοντα. Οι επιτιθέμενοι προμηθεύονται λίστες με usernames και passwords από παλαιότερες παραβιάσεις δεδομένων ή από κακόβουλο λογισμικό τύπου infostealer, το οποίο «τραβά» διαπιστευτήρια απευθείας από παραβιασμένες συσκευές και browsers.
Στη συνέχεια, μέσω αυτοματοποιημένων εργαλείων, ελέγχουν αυτά τα στοιχεία σε email, social media, τραπεζικούς λογαριασμούς και e-shops. Η επιτυχία έρχεται με τον πρώτο κιόλας κωδικό που «δουλεύει» σε κάποια υπηρεσία, παρέχοντας έτσι πραγματική πρόσβαση. Για τον απλό χρήστη, η απειλή είναι ύπουλη: ο λογαριασμός του μπορεί να παραβιαστεί χωρίς να έχει κάνει κάποιο δικό του λάθος εκείνη τη στιγμή, ακόμα κι αν η πλατφόρμα που χρησιμοποιεί είναι τεχνικά ασφαλής. Το credential stuffing λειτουργεί σαν ένα «κλειδί γενικής χρήσης», ανοίγοντας ταυτόχρονα πορτες σε διάφορες ψηφιακές «ιδιοκτησίες». Η ESET τονίζει ότι η απόκτηση αυτού του «κλειδιού» είναι συχνά εύκολη και οικονομική.
Η έκταση του προβλήματος είναι εντυπωσιακή. Έρευνα της NordPass αποκαλύπτει ότι το 62% των Αμερικανών παραδέχεται πως επαναχρησιμοποιεί τον ίδιο κωδικό πρόσβασης «συχνά» ή «πάντα», γεγονός που εξηγεί την αποτελεσματικότητα και την κερδοφορία αυτής της τεχνικής για τους επιτιθέμενους.
Πρόσφατα περιστατικά μεγάλης κλίμακας υπογραμμίζουν την επικινδυνότητα. Το 2022, η PayPal ανέφερε παραβίαση σχεδόν 35.000 λογαριασμών πελατών μέσω credential stuffing, χωρίς η ίδια η πλατφόρμα να έχει παραβιαστεί. Οι δράστες εκμεταλλεύτηκαν διαπιστευτήρια από παλαιότερες διαρροές. Παρόμοια, το 2024, ένα κύμα επιθέσεων σε πελάτες της Snowflake επηρέασε περίπου 165 εταιρείες. Και σε αυτή την περίπτωση, η Snowflake παρέμεινε ασφαλής, καθώς οι επιτιθέμενοι χρησιμοποίησαν κλεμμένα credentials από infostealer malware, οδηγώντας ακόμη και σε απαιτήσεις λύτρων.
Η απειλή δεν αφορά μόνο ιδιώτες. Σήμερα, η παραβίαση διαπιστευτηρίων αποτελεί βασικό παράγοντα για απάτες και κλοπή δεδομένων σε κλάδους όπως το λιανικό εμπόριο, ο χρηματοοικονομικός τομέας, οι υπηρεσίες SaaS και η υγειονομική περίθαλψη. Ωστόσο, πολλές επιχειρήσεις εξακολουθούν να βασίζονται αποκλειστικά σε κωδικούς πρόσβασης, ενώ η ταυτοποίηση δύο παραγόντων, ακόμη και όταν είναι διαθέσιμη, δεν εφαρμόζεται πάντα υποχρεωτικά.
Η μετάβαση σε μεθόδους αυθεντικοποίησης χωρίς κωδικό, όπως τα passkeys, θα μπορούσε να καταστήσει το credential stuffing ουσιαστικά αναποτελεσματικό. Παρόλα αυτά, η υιοθέτηση τέτοιων λύσεων είναι ακόμη άνιση, με εκατομμύρια διαρρεύσαντα διαπιστευτήρια να παραμένουν ενεργά για μεγάλο χρονικό διάστημα.
Το credential stuffing παραμένει, λοιπόν, μια μέθοδος επίθεσης χαμηλού κόστους, εξαιρετικά επεκτάσιμη και σταθερά αποδοτική. Μέχρι την πλήρη κατάργηση των κωδικών πρόσβασης, η άμυνα βρίσκεται στα χέρια των χρηστών και των οργανισμών. Η χρήση μοναδικών κωδικών, η ενεργοποίηση 2FA και η συνεχής εγρήγορση δεν αποτελούν πλέον απλές καλές πρακτικές, αλλά αναγκαίες προϋποθέσεις για την ψηφιακή επιβίωση.