Kimlik Bilgisi Doldurma (Credential Stuffing) Nedir?

İngilizce: Credential Stuffing

Credential stuffing, sızmış kullanıcı adı ve parolaların otomatik olarak farklı sitelerde denenmesiyle yapılan hesap ele geçirme saldırısıdır.

Kimlik Bilgisi Doldurma (Credential Stuffing) Nedir?

Credential stuffing, daha önce başka servislerden sızmış kullanıcı adı-parola çiftlerinin otomatik araçlarla yeni hedeflerde denenmesidir. Saldırgan parolayı tahmin etmeye çalışmaz; kullanıcıların aynı parolayı birden fazla yerde kullanmasına güvenir.

Bu yönüyle klasik brute force saldırısından ayrılır. Deneme sayısı kullanıcı başına az görünebilir, fakat binlerce hesap ve dağıtık proxy ağı kullanıldığı için toplam trafik yüksek olur. Başarılı denemeler hesap ele geçirme, sipariş dolandırıcılığı, sadakat puanı hırsızlığı veya kişisel veri sızıntısına yol açabilir.

Korunma Yolları

Korunma için rate limiting, bot davranışı analizi, risk bazlı giriş kontrolü, sızmış parola listesi kontrolü, cihaz/parmak izi sinyalleri ve anormal oturum uyarıları birlikte kullanılmalıdır. 2FA veya passkey gibi ek kimlik doğrulama yöntemleri, parola tekrar kullanılsa bile hesabın ele geçirilmesini zorlaştırır.

İşletmeler için önemli nokta, hatalı giriş sayısını yalnızca IP adresine göre değerlendirmemektir. Saldırılar dağıtık gelebilir; kullanıcı, cihaz, ASN, ülke, user-agent ve hız paterni birlikte incelendiğinde daha doğru tespit yapılır. Kullanıcıya gönderilen uyarılar da panik yaratmadan parola değişimi ve oturum kapatma adımlarını açık anlatmalıdır.