Den legitimationsoplysninger udstopning er en form for cyberangreb , hvor oplysninger stjålne konti typisk består af lister over brugernavne og passwords , der er forbundet (ofte svigagtigt opnåede) bruges til at få uautoriseret adgang til brugerkonti gennem store automatiserede login anmodninger til web-applikationer.
I modsætning til adgangskodebrydning forsøger et akkreditivfyldningsangreb ikke at finde en adgangskode gennem et brutalt kraftangreb . Snarere automatiserer angriberen loginforsøg ved hjælp af tusinder eller endog millioner af tidligere opdagede ID / adgangskodepar. For at gøre dette bruger den standard webautomationsværktøjer som Selenium , cURL , PhantomJS eller værktøjer designet specielt til disse typer angreb som Sentry MBA .
Udtrykket legitimationsopfyldning blev opfundet af Sumit Agarwal, medstifter af Shape Security . Sumit Agarwal var dengang stedfortrædende assisterende forsvarsminister (i) den Pentagon .
Credential udstopning angreb betragtes som en af de øverste trusler mod web og mobile applikationer på grund af mængden af ondsindede afsløringer af id / password par. Alene i 2016 blev mere end 3 milliarder sådanne par afsløret som et resultat af datatyveri.
Den 20. august 2018 var Superdrug fra Storbritannien målet for et afprøvningsforsøg . Hackere hævdede at være kommet ind på apotekets websted og downloadet 20.000 brugeroptegnelser. En undersøgelse viste, at hackerne bluffede, og de falske beviser, de fremlagde, sandsynligvis var opnået fra legitimationsopfyldning , derfor på grund af utilstrækkelig sikkerhedspraksis fra Superdrugs kunder og ikke på grund af svagheder i sikkerheden.
I oktober-november 2016 fik angribere adgang til et privat GitHub- bibliotek, der blev brugt af Uber- udviklere (Uber BV og Uber UK) ved hjælp af brugernavne og adgangskoder for medarbejdere, der var kompromitteret i tidligere cyberangreb. Hackerne sagde, at de hackede 12 medarbejderes brugerkonti ved hjælp af legitimationsopfyldning, fordi e-mail-adresserne og adgangskoderne til disse medarbejdere var blevet genbrugt på andre platforme. Multi- eller tofaktorautentificering, selvom den var tilgængelig, var ikke aktiveret for de berørte konti.
Hackerne fik derefter adgang til virksomhedens AWS- database og fik derved adgang til optegnelser over 32 millioner ikke-amerikanske brugere og 3,7 millioner ikke-amerikanske drivere samt andre. Data indeholdt i mere end 100 Amazon S3- filer . Angriberne advarede Uber og krævede betaling på $ 100.000 for at slette dataene. Virksomheden betalte løsesummen gennem et bug-bounty- program , men afslørede ikke hændelsen til berørte parter i over et år. Efter opdagelsen af overtrædelsen blev virksomheden idømt en bøde på £ 385.000 (som kan reduceres til £ 308.000) af informationskommissærens kontor i Det Forenede Kongerige .