Såkalte credential stuffing-angrep utgjør en betydelig og økende sikkerhetstrussel. Derfor har datatilsyn fra mange land gått sammen og laget veiledning om hva dette innebærer og hva individer og virksomheter kan gjøre for å forebygge, oppdage og redusere risikoen for slike angrep.
Credential stuffing er en cyberangrepsmetode som utnytter folks tendens til å bruke samme brukernavn og passord på tvers av flere nettkontoer. Ved å bruke stjålne påloggingsdetaljer hentet fra urelaterte datainnbrudd, kan trusselaktørene få tilgang til folks kontoer på tvers av nettsteder. Disse angrepene er automatiserte og skjer ofte i stor skala.
Veiledningen er gitt ut av International Enforcement Working Group, en underarbeidsgruppe av Global Privacy Assembly (GPA). Med mer enn 130 datatilsynsmyndigheter fra hele verden som medlemmer, inkludert Norge, er GPA er det største samarbeidsforumet for datatilsynsmyndigheter.
Blant tiltakene som er oppført i veiledningen, trekkes multifaktorautentisering frem som det mest effektive tiltaket for å sikre nettkontoer mot legitimasjonsfylling.
Credential Stuffing - General Public Awareness (pdf).
I veiledningen identifiseres trusler for den enkeltes personvern fra credential stuffing-angrep og gir råd til den enkelte og til allmennheten om hvordan en kan beskytte seg mot slik risiko. Dokumentet er på engelsk.
Credential Stuffing guidelines (pdf).
Dette dokumentet inneholder retningslinjer for hvordan en kan identifisere credential stuffing-angrep og foreslår tiltak til hvordan virksomheter kan redusere personvernrisiko. Dokumentet er på engelsk.