O que é credential stuffing?
O credential stuffing (preenchimento de credenciais) é um ataque automatizado no qual pares roubados de usuário e senha de um vazamento são testados contra as páginas de login de outros serviços em escala massiva, explorando o fato de que as pessoas reutilizam a mesma senha em muitos sites.
Ao contrário da adivinhação de senhas, o credential stuffing não tenta combinações aleatórias — ele reproduz credenciais que já se sabe serem válidas em algum lugar, de modo que mesmo uma taxa de sucesso baixa rende muitas contas comprometidas em uma lista grande. É um dos caminhos mais comuns para o roubo de conta e uma das ameaças automatizadas de maior volume na internet. Este guia explica como o ataque funciona, por que tem sucesso tão frequentemente, seus sinais reveladores e como as defesas em nível de dispositivo o detêm onde limites de taxa e senhas falham.
O que é credential stuffing?
O credential stuffing é a reprodução automatizada em larga escala de credenciais de login previamente roubadas contra o endpoint de autenticação de um alvo, na esperança de que os usuários tenham reutilizado essas credenciais. É um ataque de escala e reutilização, não de esperteza.
O atacante começa com uma lista de pares reais de usuário e senha — muitas vezes milhões — vazados de algum vazamento sem relação. A automação envia cada par ao formulário de login do alvo. Onde quer que um usuário tenha reutilizado a senha, o login funciona, e aquela conta está agora comprometida. O atacante não precisa de nenhum conhecimento sobre qualquer vítima individual; a lista vazada e a reutilização de senhas fazem todo o trabalho.
Isso torna o credential stuffing diferente dos ataques de força bruta, que adivinham senhas para um usuário conhecido, e do password spraying, que testa algumas senhas comuns contra muitas contas. O credential stuffing usa pares completos, já válidos, e é por isso que tem sucesso a taxas que a pura adivinhação nunca alcança.
Como funciona um ataque de credential stuffing?
Um ataque de credential stuffing funciona carregando uma lista de credenciais vazadas na automação, distribuindo as tentativas de login por muitos IPs e dispositivos para burlar limites de taxa e coletando os pares que funcionam para monetização posterior.
O atacante equipa a automação — de scripts simples a navegadores headless — com a lista de credenciais e a aponta para o endpoint de login. Para evitar a defesa óbvia de bloquear um IP após muitas falhas, o tráfego é espalhado por redes de proxy residencial e user agents rotacionados, de modo que cada tentativa pareça vir de um usuário comum diferente.
Os logins bem-sucedidos são registrados e separados das falhas. Essas contas validadas são então exploradas diretamente, vendidas como credenciais verificadas ou passadas a uma fase de monetização que drena valor. Todo o pipeline é industrializado: ferramentas, acesso a proxy e listas de credenciais estão todos prontamente disponíveis, e é por isso que o ataque é tão disseminado.
Por que o credential stuffing tem sucesso tão frequentemente?
O credential stuffing tem sucesso porque a reutilização de senhas é generalizada, as credenciais vazadas são abundantes e baratas e a infraestrutura de automação e proxy necessária para rodar o ataque está comoditizada. Cada parte da equação favorece o atacante.
A reutilização de senhas é a causa raiz. Quando o mesmo e-mail e senha destravam as contas de uma pessoa em muitos serviços, um único vazamento expõe todas elas, e os atacantes só precisam encontrar os serviços onde a vítima reutilizou suas credenciais. A reutilização transforma um vazamento em uma chave-mestra.
A oferta e as ferramentas fazem o resto. Conjuntos de dados de credenciais enormes circulam livremente, os proxies residenciais fazem o tráfego parecer legítimo e ferramentas prontas automatizam todo o processo. Como mesmo uma taxa de sucesso pequena em uma lista massiva rende milhares de contas, a economia trabalha fortemente a favor do atacante — que é justamente por que as defesas devem atacar essa economia.
Quais são os sinais de um ataque de credential stuffing?
As assinaturas do credential stuffing são um pico de tentativas de login, uma taxa de falha anormalmente alta e padrões de tráfego que revelam automação apesar dos esforços para parecer humano. Vistos em conjunto, são difíceis de confundir com atividade orgânica.
O volume é o primeiro sinal: uma súbita disparada de tentativas de login muito acima do patamar normal, muitas vezes concentrada no endpoint de autenticação. Como a maioria das credenciais reproduzidas não coincide, a taxa de falha sobe a níveis que nenhuma população de usuários legítimos produz — uma razão de sucesso de login que inverte o que você normalmente veria.
A composição do tráfego entrega a automação. Mesmo distribuídas por muitos IPs, as tentativas compartilham indícios: impressões digitais TLS típicas de automação, origens de datacenter ou de proxy conhecido misturadas ao ruído residencial, tempo mecânico e sinais de dispositivo que recorrem em sessões supostamente sem relação. A correlação em nível de dispositivo expõe a campanha única escondida por trás de milhares de IPs.
- Um pico acentuado no volume de login contra o endpoint de autenticação.
- Uma taxa de falha de login anormalmente alta, à medida que a maioria dos pares reproduzidos erra.
- Tráfego distribuído por muitos IPs que, ainda assim, compartilha características de dispositivo ou TLS.
- Indícios de automação: origens de proxy e datacenter, impressões digitais de bibliotecas de scripting e tempo mecânico.
Por que senhas e limites de taxa não conseguem detê-lo?
As senhas e os limites de taxa por IP falham porque o ataque usa credenciais válidas e se distribui por milhares de IPs, derrotando ambas as defesas por concepção. Cada uma foi construída para um modelo de ameaça que o credential stuffing contorna deliberadamente.
As políticas de senhas fortes protegem apenas as contas do seu próprio serviço; nada fazem quanto a uma credencial que o usuário reutilizou de outro site que foi vazado. A senha é válida, então passa por toda verificação de força e correção. A vulnerabilidade vive em uma reutilização que a plataforma não consegue ver nem controlar.
A limitação de taxa por IP presumia um atacante operando de um único endereço, então bloquear após uma rajada de falhas o detinha. As redes de proxy residencial demolem essa premissa ao dar a cada tentativa um IP novo e de aparência legítima, mantendo cada origem abaixo do limiar. A limitação de taxa por IP simplesmente não tem nada durável para contar. O identificador durável que o atacante não consegue rotacionar de forma barata é o dispositivo.
Como a inteligência de dispositivos detém o credential stuffing?
A inteligência de dispositivos detém o credential stuffing ao identificar o dispositivo por trás de cada tentativa, de modo que a limitação de taxa e o bloqueio operem sobre uma identidade durável que sobrevive à rotação de IP, e ao sinalizar a automação de que o ataque depende. Ela contra-ataca diretamente a evasão central do ataque.
Como a identidade de dispositivo persiste entre IPs, um único dispositivo de fraude martelando o login é reconhecível não importa quantos proxies residenciais ele esconda por trás. Limites de taxa impostos por dispositivo — e não por IP — finalmente têm algo estável para contar, de modo que o atacante já não consegue redefinir seu orçamento tomando emprestado outro endereço.
Além disso, os sinais de bot e de automação expõem as próprias ferramentas: artefatos de navegador headless, impressões digitais TLS de bibliotecas de scripting e indícios comportamentais marcam o tráfego como automatizado independentemente das credenciais válidas que carrega. E como o mesmo dispositivo recorre entre contas, a correlação de dispositivos revela toda a campanha — transformando milhares de tentativas dispersas em um único atacante identificável que você pode bloquear de imediato.
Como as empresas podem se defender do credential stuffing?
As empresas se defendem do credential stuffing com uma estratégia em camadas: detecção e limitação de taxa em nível de dispositivo, detecção de bots no fluxo de login, autenticação baseada em risco e monitoramento das assinaturas do ataque. As camadas fecham as lacunas que cada controle deixa por conta própria.
As defesas em nível de dispositivo são a peça central porque neutralizam a evasão por rotação de IP que torna o ataque viável — limitação de taxa e bloqueio por dispositivo em vez de por endereço. A detecção de bots adiciona uma segunda frente, flagrando a automação por meio de sinais de ambiente, rede e comportamento mesmo quando as credenciais são válidas.
Em torno dessas, a autenticação baseada em risco exige verificação reforçada quando um login parece suspeito, esvaziando o valor de quaisquer credenciais que escapem, e o monitoramento de picos de volume e anomalias na taxa de falha dá aviso precoce de uma campanha em andamento. Incentivar senhas únicas e a MFA reduz a reutilização subjacente que o ataque explora. Juntas, as camadas fazem a economia do ataque parar de funcionar.
Não conhece um termo desta página? Todo conceito acima está definido no nosso glossário de inteligência de dispositivos.
Prefere uma definição concisa? Veja Bot de credential stuffing no glossário.
Perguntas frequentes
Limite a taxa do dispositivo, não do IP
A TRACIO dá a cada tentativa uma identidade de dispositivo persistente que sobrevive à rotação de proxy, de modo que o credential stuffing não consiga redefinir seu orçamento trocando de IP. Comece grátis e encerre o ataque.