Credential stuffing.

O credential stuffing aproveita enormes combolists de credenciais roubadas em violações anteriores. O termo foi cunhado em 2011 por Sumit Agarwal, e a OWASP cataloga-o como a ameaça automatizada OAT-008. Os atacantes alimentam combolists em frameworks de automatização (Sentry MBA, OpenBullet, Snipr, scripts próprios) que rodam proxies residenciais, resolvem CAPTCHAs e regulam o ritmo dos pedidos para contornar limites de taxa. Como muitos utilizadores reutilizam palavras-passe em vários sites, mesmo uma taxa de sucesso baixa (frequentemente 0,1–2 %) produz grandes volumes de tomadas de conta, que são depois monetizadas através de fraude, descarga de cartões-presente ou revenda subsequente de credenciais.

A técnica é claramente distinta da força bruta: não adivinha palavras-passe, reenvia palavras-passe que já se sabe serem válidas em algum lado. A violação da 23andMe em 2023 é um caso de manual — os atacantes usaram credenciais reutilizadas para entrar em cerca de 14.000 contas e, depois, alavancaram a funcionalidade "DNA Relatives" para extrair dados de quase 7 milhões de pessoas, nenhuma das quais teve a conta diretamente comprometida. Campanhas semelhantes têm atingido plataformas de streaming, retalho e financeiras ao longo de anos.

As defesas incluem MFA (idealmente FIDO2/passkeys resistentes a phishing), triagem de palavras-passe comprometidas contra corpora como o Have I Been Pwned, fingerprinting de dispositivo, gestão de bots, deteção de viagens impossíveis e anomalias de velocidade, e throttling progressivo ou desafios reforçados (step-up) em logins suspeitos.

flowchart LR
  A[Combolists de violações<br/>pares utilizador:palavra-passe] --> B[Ferramenta de automatização<br/>OpenBullet / Sentry MBA]
  B --> C[Rodar proxies residenciais<br/>+ resolver CAPTCHAs]
  C --> D[Reenviar logins em<br/>muitos sites-alvo]
  D --> E{Palavra-passe reutilizada?}
  E -->|Não| F[Login falha]
  E -->|Sim| G[Tomada de conta]
  G --> H[Fraude / revenda / roubo de dados]