DatalekChecker← Terug naar de check

Controleer direct of jouw e-mailadres is gelekt

Wat is credential stuffing?

Credential stuffing is een type cyberaanval waarbij aanvallers grote lijsten met eerder gelekte gebruikersnamen en wachtwoorden automatisch uitproberen op andere websites en diensten. Het doel is simpel: toegang krijgen tot accounts van mensen die hetzelfde wachtwoord op meerdere platforms gebruiken. In tegenstelling tot een brute-force aanval, waarbij willekeurige wachtwoorden worden geraden, maakt credential stuffing gebruik van echte, eerder buitgemaakte inloggegevens.

De naam zegt het al: aanvallers "vullen" (to stuff) gestolen inloggegevens (credentials) in bij loginformulieren van websites. Omdat miljoenen mensen hun wachtwoorden hergebruiken, is deze aanvalsmethode bijzonder effectief. Schattingen lopen uiteen, maar gemiddeld slaagt 0,1% tot 2% van alle credential stuffing pogingen — en bij miljoenen pogingen per dag levert dat duizenden gehackte accounts op.

Hoe werkt een credential stuffing aanval?

Een credential stuffing aanval verloopt in een aantal stappen. Het proces begint altijd bij een datalek en eindigt bij het overnemen van accounts:

  • Stap 1: Datalek vindt plaats. Bij een bedrijf of dienst worden inloggegevens buitgemaakt. Dit kunnen e-mailadressen en wachtwoorden zijn, soms in platte tekst, soms gehasht. Bekende voorbeelden zijn de LinkedIn-, Adobe- en Collection-lekken, waarbij honderden miljoenen accounts werden blootgesteld.
  • Stap 2: Gegevens worden verhandeld. De gestolen inloggegevens worden verkocht of gratis gedeeld op ondergrondse marktplaatsen en hackersforums. Grote datasets met miljarden combinaties van e-mailadressen en wachtwoorden zijn op het dark web eenvoudig te verkrijgen.
  • Stap 3: Geautomatiseerde tools worden ingezet. Aanvallers gebruiken speciale software (zoals Sentry MBA, OpenBullet of zelfgeschreven scripts) om de gestolen combinaties automatisch en op grote schaal uit te proberen op tientallen tot honderden websites tegelijk. Deze tools omzeilen vaak beveiligingsmaatregelen door gebruik te maken van wisselende IP-adressen (proxies) en het nabootsen van normaal gebruikersgedrag.
  • Stap 4: Account-overname. Bij elke succesvolle inlogpoging heeft de aanvaller volledige toegang tot het account. Afhankelijk van het type dienst kan dit leiden tot financiele diefstal, het doorverkopen van accounts, het versturen van spam of het verzamelen van nog meer persoonlijke gegevens.

Waarom is credential stuffing zo gevaarlijk?

De kracht van credential stuffing zit in de menselijke gewoonte om wachtwoorden te hergebruiken. Uit onderzoek blijkt dat meer dan 60% van de internetgebruikers hetzelfde wachtwoord voor meerdere accounts gebruikt. Dit maakt het voor aanvallers bijzonder lonend om gelekte inloggegevens op andere diensten uit te proberen.

De schaal van deze aanvallen is enorm. Grote bedrijven rapporteren dagelijks miljoenen credential stuffing pogingen op hun loginpagina's. Akamai, een groot internetbeveiligingsbedrijf, registreerde in een periode van twee jaar meer dan 100 miljard credential stuffing aanvallen wereldwijd. De financiele sector, e-commerce en streamingdiensten zijn het vaakst doelwit.

Wat credential stuffing extra gevaarlijk maakt, is dat het voor aanvallers goedkoop en laagdrempelig is. De benodigde tools zijn gratis beschikbaar, gelekte datasets kosten weinig of niets, en het uitvoeren van de aanval vereist geen geavanceerde technische kennis. Tegelijkertijd is het voor bedrijven moeilijk om deze aanvallen te detecteren, omdat elke individuele inlogpoging er uitziet als een normale login.

Voorbeelden van credential stuffing aanvallen

Credential stuffing heeft de afgelopen jaren bij tal van bekende organisaties tot incidenten geleid:

  • Streamingdiensten: Platforms zoals Netflix, Spotify en Disney+ worden veelvuldig getroffen. Aanvallers nemen accounts over en verkopen deze door op het dark web, vaak voor enkele euro's per stuk. Gebruikers merken de overname soms pas wanneer hun aanbevelingen veranderen of ze uit hun account worden vergrendeld.
  • Financiele instellingen: Banken en betaalplatforms zijn een geliefd doelwit vanwege de directe financiele winst. Bij een succesvolle inlog kan de aanvaller transacties uitvoeren of persoonsgegevens verzamelen voor identiteitsfraude.
  • Webshops en retailers: Bij meerdere grote webshops zijn in het verleden klantaccounts overgenomen via credential stuffing. Aanvallers plaatsen dan bestellingen met opgeslagen betaalmethoden of stelen spaarpunten en cadeaubonnen.
  • Gaming-platforms: Accounts op platforms als Steam, PlayStation Network en Epic Games zijn waardevol vanwege de gekoppelde spellenbibliotheek. Overgenomen accounts worden doorverkocht of gebruikt voor in-game fraude.

Hoe bescherm je jezelf tegen credential stuffing?

Het goede nieuws is dat je jezelf met een aantal eenvoudige maatregelen effectief kunt beschermen tegen credential stuffing. De belangrijkste stap is het elimineren van wachtwoordhergebruik:

  • Gebruik een uniek wachtwoord voor elke dienst. Dit is de meest effectieve maatregel. Als een wachtwoord uit een datalek komt, zijn je andere accounts niet in gevaar wanneer elk account een ander wachtwoord heeft.
  • Gebruik een wachtwoordmanager. Programma's als Bitwarden, 1Password of KeePass genereren en bewaren sterke, unieke wachtwoorden voor al je accounts. Je hoeft dan nog maar een hoofdwachtwoord te onthouden.
  • Schakel tweefactorauthenticatie (2FA) in. Met 2FA heb je naast je wachtwoord een tweede verificatie nodig om in te loggen, bijvoorbeeld een code uit een authenticator-app. Zelfs als je wachtwoord gelekt is, kan een aanvaller dan niet inloggen.
  • Controleer regelmatig of je gegevens gelekt zijn. Gebruik een dienst als DatalekChecker om te monitoren of je e-mailadres voorkomt in bekende datalekken. Zo kun je direct actie ondernemen wanneer er een nieuw lek is ontdekt.
  • Wees alert op verdachte meldingen. Ontvang je een melding van een inlogpoging die je niet herkent? Wijzig dan direct je wachtwoord en controleer je account op ongeautoriseerde activiteiten.

Het verschil tussen credential stuffing en brute force

Credential stuffing en brute force worden soms door elkaar gehaald, maar het zijn wezenlijk verschillende aanvalsmethoden. Bij een brute-force aanval probeert de aanvaller een wachtwoord te raden door systematisch alle mogelijke combinaties uit te proberen. Dit kost veel rekenkracht en tijd, zeker bij langere wachtwoorden.

Bij credential stuffing worden daarentegen bekende, eerder gelekte wachtwoorden gebruikt. De aanvaller hoeft niets te raden — hij probeert bestaande combinaties van e-mailadres en wachtwoord op andere websites. Dit maakt credential stuffing aanzienlijk sneller en effectiever dan brute force. Bovendien is credential stuffing moeilijker te detecteren, omdat de inlogpogingen legitieme gebruikersnamen en wachtwoorden bevatten en er geen sprake is van herhaalde mislukte pogingen op een enkel account.

Waar brute force vaak wordt tegengehouden door accountvergrendeling na een aantal mislukte pogingen, omzeilt credential stuffing deze beveiliging doordat elke combinatie doorgaans slechts een of twee keer wordt geprobeerd per dienst. De verdediging tegen beide aanvallen verschilt dan ook: tegen brute force helpt een sterk wachtwoord, tegen credential stuffing helpt alleen een uniek wachtwoord per account.

Credential stuffing is een van de meest voorkomende cyberdreigingen van dit moment, maar het is ook een van de best te voorkomen aanvallen. Door voor elke dienst een uniek wachtwoord te gebruiken en tweefactorauthenticatie in te schakelen, maak je het aanvallers vrijwel onmogelijk om via deze methode toegang te krijgen tot jouw accounts.

Zijn jouw inloggegevens gelekt?

Controleer direct of jouw e-mailadres voorkomt in bekende datalekken. Gratis, anoniem en binnen 5 seconden.

Naar de homepage →

Datalekgegevens zijn afkomstig van Have I Been Pwned door Troy Hunt, beschikbaar gesteld onder de Creative Commons Attribution 4.0 licentie.