크리덴셜 스터핑(Credential stuffing)
- 크리덴셜(Credential): Encrypted authentication information.
암호화된 인증 정보.
- 스터핑(Stuffing): Fill it up. Push. → Large amount of attempt.
채워 넣기. 밀어 넣기. → 다량의 시도.
크리덴셜 스터핑(Credential stuffing)
Submitting a large amount of credentials to the certification system. Mass login attempt. Brute Force.
인증 시스템에 크리덴셜을 다량으로 제출하는 것. 다량 로그인 시도. 브루트 포스.
[Process] 발생 과정
1. Inappropriate security habits of individuals: Use the same password on multiple sites, or reuse old passwords on other sites.
1. 개인의 부적절한 보안 습관: 여러 사이트에서 동일한 비밀번호를 사용하거나, 과거 사용하던 비밀번호를 다른 사이트에서 재활용한다.
2. Security issue occurs: Due to security vulnerabilities, personal information (credentials) of certain institutions are leaked and distributed on the black market.
2. 보안 이슈 발생: 보안 취약점으로 인해 특정 기관의 개인정보(크리덴셜)가 유출되며 암시장에서 유통된다.
3. Inappropriate security response of institution: Failure to detect credential stuffing attacks or lack of capability or manpower may be limited timely response.
3. 기관의 부적절한 보안 대응: 크리덴셜 스터핑 공격을 탐지하지 못하거나, 능력이나 인력 부족 등으로 적시 적절한 대응이 제한될 수 있다.
4. Account hijacked by credential stuffing attack:
Although the success rate is low, it is reported that hijacking hundreds of thousands of accounts is possible if attempted at various sites using tens of millions of credentials. There is also a popular attack tool for this.
4. 크리덴션 스터핑 공격으로 계정 탈취: 성공률은 낮지만, 수백-수천만 개의 크리덴셜로 다양한 사이트에서 시도하다 보면 수십만 개의 계정을 탈취하는 것이 확률상 불가능하지 않은 것으로 보고되고 있다. 이를 위한 유명한 공격 툴도 존재한다
* SentryMBA, Vertex Cracker, Account Hitman etc.
5. Damages: Various threats such as public threats to social media, account deletion, account sales, opening of fake accounts, theft of photos, and withdrawal of funds can occur.
5. 피해 발생: SNS 등에 공개 협박을 받거나, 계정 삭제, 계정 판매, 대포통장 개설, 사진 도용, 자금 인출 등의 다양한 피해가 발생할 수 있다.