Credential Stuffing.

Credential Stuffing nutzt riesige Combolists aus Zugangsdaten, die bei früheren Datenlecks gestohlen wurden. Der Begriff wurde 2011 von Sumit Agarwal geprägt, und OWASP katalogisiert ihn als automatisierte Bedrohung OAT-008. Angreifer speisen Combolists durch Automationsframeworks (Sentry MBA, OpenBullet, Snipr, eigene Skripte), die Residential-Proxies rotieren, CAPTCHAs lösen und das Anfragetempo so steuern, dass Rate-Limits umgangen werden. Da viele Nutzer Passwörter über mehrere Seiten hinweg wiederverwenden, führt selbst eine niedrige Trefferquote (oft 0,1–2 %) zu großen Mengen an Account-Übernahmen, die anschließend über Betrug, Gutscheinkarten-Auszahlung oder Weiterverkauf von Zugangsdaten monetarisiert werden.

Die Technik unterscheidet sich klar von Brute Force: Sie errät keine Passwörter, sondern spielt solche erneut ab, die bereits irgendwo als gültig bekannt sind. Der 23andMe-Vorfall von 2023 ist ein Lehrbuchbeispiel — Angreifer nutzten wiederverwendete Zugangsdaten, um sich in rund 14.000 Konten einzuloggen, und griffen dann über die Funktion "DNA Relatives" Daten von nahezu 7 Millionen Menschen ab, von denen kein Konto direkt kompromittiert war. Ähnliche Kampagnen treffen seit Jahren Streaming-, Handels- und Finanzplattformen.

Zu den Abwehrmaßnahmen zählen MFA (idealerweise phishing-resistente FIDO2/passkeys), Abgleich kompromittierter Passwörter gegen Korpora wie Have I Been Pwned, Device Fingerprinting, Bot-Management, Erkennung von Impossible-Travel- und Velocity-Anomalien sowie progressives Throttling oder Step-up-Challenges bei verdächtigen Logins.

flowchart LR
  A[Combolists aus Datenlecks<br/>user:pass-Paare] --> B[Automationstool<br/>OpenBullet / Sentry MBA]
  B --> C[Residential-Proxies rotieren<br/>+ CAPTCHAs lösen]
  C --> D[Logins über viele<br/>Zielseiten abspielen]
  D --> E{Passwort wiederverwendet?}
  E -->|Nein| F[Login schlägt fehl]
  E -->|Ja| G[Account-Übernahme]
  G --> H[Betrug / Weiterverkauf / Datendiebstahl]