O credential stuffing (ou preenchimento de credenciais) é um tipo de ciberataque em que criminosos utilizam combinações de usuários e senhas que foram vazadas para tentar acessar contas e serviços diferentes daqueles que sofreram o vazamento.

O sucesso desses ataques depende de um dos piores hábitos no mundo digital: reutilizar a mesma senha para diferentes contas ou serviços. É como usar a mesma chave para abrir a casa, o carro, o escritório e o cofre.

Se essa senha vaza, os cibercriminosos só precisam testá-la em outros sites onde o usuário possua conta. Se houver coincidência, eles conseguem acessar sem precisar invadir o sistema.

Por isso, é fundamental entender como funciona um ataque de credential stuffing, por que eles são tão eficazes, quais podem ser suas consequências e, claro, como se proteger.

Como funciona um ataque de credential stuffing?

Um ataque de credential stuffing começa quando criminosos obtêm credenciais vazadas (existem inúmeros casos de vazamentos de dados em empresas e organizações importantes, envolvendo milhões de registros).

Com essas informações sensíveis em mãos, os cibercriminosos utilizam bots ou scripts automatizados para testar milhares de logins por minuto em diversos sites, contas ou serviços, como Netflix, Gmail, bancos, redes sociais, entre outros.

Se encontrarem uma coincidência, é como se o acesso fosse feito por um usuário legítimo, o que dificulta a detecção, já que não há sinais típicos de atividade suspeita, como múltiplas tentativas de login fracassadas.

Importante: um ataque de credential stuffing não deve ser confundido com um ataque de brute force, no qual os criminosos tentam adivinhar credenciais sem pistas, utilizando técnicas que testam combinações de senhas, como caracteres aleatórios ou senhas comumente usadas.

Por que esse tipo de ataque é tão eficaz?

Pelo hábito generalizado de reutilizar senhas em diferentes contas. Para ter uma ideia de como esse mau hábito é comum, a NordPass compartilhou recentemente uma pesquisa que mostra que 62% dos americanos admitem reutilizar a mesma senha "frequentemente" ou "sempre". Um verdadeiro sinal de alerta.

Exemplos reais e recentes

Para entender melhor o impacto desses ataques, veja dois casos concretos que mostram como o credential stuffing pode comprometer milhares de contas:

  • PayPal: Entre 6 e 8 de dezembro de 2022, o PayPal sofreu um ataque de credential stuffing que comprometeu cerca de 35 mil contas, expondo informações sensíveis como nomes, endereços, datas de nascimento e números de identificação fiscal.
  • Snowflake: Mais de 165 organizações foram afetadas quando cibercriminosos identificados como UNC5537 acessaram contas de clientes da Snowflake usando credenciais roubadas por meio de malware do tipo infostealer. Embora a infraestrutura da Snowflake não tenha sido diretamente violada, os criminosos se aproveitaram da ausência de autenticação multifator e do uso de senhas antigas.

Vazamentos de dados: a chave para um ataque de credential stuffing

Grandes vazamentos de dados são a principal forma pela qual cibercriminosos obtêm credenciais. E eles acontecem com mais frequência do que se imagina.

Em junho de 2025, por exemplo, uma série de bancos de dados com 16 bilhões de registros ficou hospedada em repositórios mal configurados, expostos e públicos. Embora a exposição tenha sido temporária, foi suficiente para que pesquisadores, ou qualquer pessoa, acessassem os dados, que incluíam combinações de usuários e senhas para serviços online como contas do Google, Facebook, Meta, Apple, entre outros.

Mas não foi o único caso do ano. Em maio, o pesquisador de segurança Jeremiah Fowler revelou a exposição pública de 184 milhões de credenciais de acesso de contas de usuários em todo o mundo. Entre elas havia informações de diversos provedores de e-mail, produtos da Apple, Google, Facebook, Instagram, Snapchat, Roblox, entre outros. Além disso, os registros incluíam credenciais de bancos e outras instituições financeiras, plataformas de saúde e sites governamentais de vários países.

Leia mais: Os 5 vazamentos de dados mais impactantes dos últimos 10 anos

Como evitar um ataque de credential stuffing

Existem várias ações concretas que podemos tomar para reduzir significativamente o risco de ser vítima de um ataque de credential stuffing:

  1. Não reutilize a mesma senha em diferentes contas, plataformas e serviços. Este é um ponto fundamental.
  2. Use senhas fortes, seguras e únicas para cada conta. Um gerenciador de senhas pode ser muito útil, pois armazena credenciais de forma criptografada e ainda gera senhas complexas e robustas.
  3. Ative a autenticação em dois fatores em todas as contas e serviços que suportem. O segundo fator é essencial caso sua senha seja comprometida, pois impede que cibercriminosos acessem suas contas sem ele.
  4. Verifique se suas senhas ou credenciais já foram vazadas em algum incidente de segurança e altere-as imediatamente, por exemplo, utilizando sites como haveibeenpwned.com.

Conclusão

Prestar atenção e gerenciar nossas senhas corretamente é tão importante quanto trancar a porta de casa com chave. Hábitos simples podem fazer toda a diferença: evitar a reutilização de senhas, ativar a autenticação em dois fatores e usar um gerenciador seguro são práticas essenciais para se proteger contra esse tipo de ameaça e muitas outras.