Il credential stuffing è lo stesso di un attacco brute-force?

No. Un attacco brute-force genera password casuali o basate su dizionario nella speranza di indovinarne una. Il credential stuffing utilizza credenziali reali già trafugate da violazioni precedenti, rendendolo molto più efficiente poiché le combinazioni nome utente/password sono già state verificate altrove.

Una VPN può proteggermi dal credential stuffing?

Non direttamente. Una VPN cifra il tuo traffico e nasconde il tuo indirizzo IP, ma non può proteggere un account se la tua password è già stata compromessa in una violazione di dati. Tuttavia, una VPN può ridurre indirettamente la tua esposizione rendendo più difficile per i tracker collegare le tue attività online tra diversi servizi.

Come faccio a sapere se le mie credenziali sono state esposte?

Puoi controllare siti come HaveIBeenPwned (haveibeenpwned.com), che raccolgono dati provenienti da violazioni note e ti consentono di cercare la tua email o nome utente per vedere se sono stati compromessi. Molti password manager offrono oggi anche funzionalità integrate di monitoraggio delle violazioni.

Quanto è comune il credential stuffing?

È estremamente diffuso. Gli istituti finanziari e i principali servizi online segnalano milioni di tentativi di credential stuffing ogni giorno. Poiché gli aggressori automatizzano il processo e sfruttano i miliardi di credenziali trafugate disponibili sul dark web, rappresenta una delle forme più persistenti di attacco agli account rivolte ai normali utenti di internet.

Credential Stuffing

Credential Stuffing: Quando Una Singola Violazione Se Ne Porta Dietro Molte

Se hai mai riutilizzato una password su più account — e la maggior parte delle persone lo fa — sei un potenziale bersaglio del credential stuffing. È uno dei metodi di attacco più comuni ed efficaci utilizzati dai criminali informatici oggi, e sfrutta un'abitudine molto umana: scegliere la comodità al posto della sicurezza.

Di Cosa Si Tratta

Il credential stuffing è un tipo di attacco informatico automatizzato in cui gli hacker prendono grandi liste di nomi utente e password trafugati (solitamente ottenuti da precedenti violazioni di dati) e li provano sistematicamente su decine o centinaia di siti web diversi. La logica è semplice: se qualcuno ha usato la stessa email e password sia per un forum di gioco che per il proprio conto bancario online, violare uno significa violare anche l'altro.

A differenza degli attacchi brute-force, che tentano password casuali o basate su dizionario, il credential stuffing utilizza credenziali reali che hanno già dimostrato di funzionare da qualche parte. Questo lo rende significativamente più efficiente e più difficile da rilevare.

Come Funziona

Il processo segue tipicamente uno schema prevedibile:

Acquisizione dei dati — Gli aggressori acquistano o scaricano database di credenziali violate dai mercati del dark web. Alcune liste contengono centinaia di milioni di coppie nome utente/password.
Automazione — Utilizzando strumenti specializzati (a volte chiamati "account checker" o framework di credential stuffing), gli aggressori caricano le credenziali rubate e le puntano su una pagina di accesso bersaglio.
Attacco distribuito — Per evitare di attivare limitazioni di frequenza o blocchi IP, gli aggressori instradano il traffico attraverso botnet o un gran numero di proxy residenziali, facendo sembrare che i tentativi di accesso provengano da migliaia di utenti diversi in tutto il mondo.
Raccolta degli account validi — Il software segnala ogni accesso riuscito, fornendo agli aggressori l'accesso agli account verificati. Questi vengono poi sfruttati direttamente, rivenduti o utilizzati per ulteriori frodi.

I tassi di successo sono generalmente bassi — spesso tra lo 0,1% e il 2% — ma quando si testano milioni di credenziali, anche lo 0,5% si traduce in migliaia di account compromessi.

Perché È Importante per gli Utenti VPN

Gli utenti VPN non sono immuni al credential stuffing — anzi, c'è un aspetto specifico che vale la pena conoscere. Alcuni provider VPN sono stati essi stessi presi di mira. In passati incidenti, attacchi di credential stuffing contro servizi VPN hanno permesso agli aggressori di accedere agli account degli utenti e, in alcuni casi, ai loro dispositivi connessi o alle configurazioni private.

Inoltre, usare una VPN non ti protegge se le tue credenziali sono già compromesse. Una VPN nasconde il tuo indirizzo IP e cifra il tuo traffico, ma non può impedire a un aggressore di accedere al tuo account Netflix, alla tua email o al tuo conto bancario con una password che hai riutilizzato da un sito violato.

Tuttavia, una VPN può contribuire a ridurre la tua esposizione in modo indiretto. Mascherando il tuo vero indirizzo IP, diventa più difficile per i tracker e i data broker costruire profili che collegano i tuoi vari account online — il che può limitare i danni quando si verificano violazioni.

Esempi Reali

Nel 2020, attacchi di credential stuffing hanno colpito simultaneamente diversi provider VPN e servizi di streaming video, con aggressori che testavano credenziali rubate da violazioni non correlate nel settore del gaming e della vendita al dettaglio.
Disney+ ha subito un'ondata di acquisizioni di account poco dopo il lancio — non a causa di una violazione dei sistemi Disney, ma perché gli utenti avevano riciclato password da altri servizi compromessi.
Gli istituti finanziari registrano regolarmente tentativi di credential stuffing nell'ordine di milioni al giorno, la maggior parte dei quali neutralizzati grazie alla limitazione della frequenza e all'autenticazione a più fattori.

Come Proteggersi

La difesa è semplice, anche se cambiare le abitudini non lo è:

Usa una password unica per ogni account. Un password manager rende questa pratica gestibile.
Abilita l'autenticazione a due fattori (2FA) ovunque sia possibile. Anche se un aggressore ha la tua password, non avrà il tuo secondo fattore.
Controlla i database delle violazioni come HaveIBeenPwned per verificare se le tue credenziali sono state esposte.
Monitora gli accessi al tuo account per individuare posizioni o dispositivi non familiari.

Il credential stuffing funziona perché le persone riutilizzano le password. Smetti di farlo, e l'attacco smetterà in gran parte di funzionare su di te.

Credential StuffingIntermedio