8 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a credential-stuffing.
Usuários recebem códigos de uso único não solicitados da Microsoft, indicando ataques de credential stuffing. Entenda os riscos, como proteger sua conta e as implicações para empresas sob a LGPD.
Ataques baseados em identidade continuam sendo o vetor de acesso inicial mais confiável. Análise sobre como credenciais roubadas substituem exploits técnicos e estratégias de defesa.
O grupo hacker ShinyHunters, por trás de ataques a Santander, Ticketmaster e Tinder, evoluiu suas táticas para incluir vishing e opera ativamente em fóruns da dark web, representando uma grande ameaça de vazamento de dados.
Sensores DShield capturaram um worm SSH capaz de comprometer sistemas Linux em cerca de quatro segundos usando credential stuffing contra credenciais fracas (ex.: Raspberry Pi). O malware executa um script de 4,7 KB que estabelece persistência, mata concorrentes e usa IRC para C2, com validação de comandos por RSA embutida.
Artigo técnico explica que atacantes constroem wordlists eficazes sem IA ao coletar a linguagem pública de uma organização com ferramentas como CeWL. Essa prática reduz o espaço de busca e contorna políticas de complexidade que não consideram vocabulário institucional. O texto alerta para a previsibilidade de senhas derivada de termos públicos, sem apresentar métricas operacionais específicas.
Um repositório público de ~96 GB expôs 149.404.754 credenciais colhidas por infostealers e keyloggers, incluindo milhões de contas Gmail, Instagram, Facebook e serviços financeiros; o provedor demorou quase um mês para suspender o índice.
O varejista espanhol PcComponentes negou relatos sobre um suposto vazamento que atingiria 16 milhões de clientes e confirmou ter sofrido um ataque de credential stuffing. A empresa afirma não ter evidências de exfiltração em seus sistemas; detalhes sobre número de contas afetadas e medidas técnicas ainda não foram divulgados.
Inteligência de ameaças registrou a oferta do toolkit “Brutus”, focado em ataques de brute‑force a serviços remotos (SSH, RDP, VNC) e direcionado a infraestruturas Fortinet. O produto, anunciado por US$1.500, inclui scanner de serviços, proxies rotativos e geração dinâmica de combinações de credenciais. Recomenda‑se reforçar MFA, rate limiting e auditorias de serviços expostos.