Credential Stuffing ist ein Cyberangriff, bei dem Berechtigungsnachweise wie Benutzerdaten, Login- Daten, Passwörter und andere charakteristische Daten von einem Angreifer in einem Dienst abgegriffen und gesammelt werden. Mit diesen Daten loggt sich der Angreifer in einem anderen Dienst ein und richtet Schaden an.
Beim Credential Stuffing kann der Angreifer versuchen sich mit den gestohlenen Daten bei Online-Shops anzumelden und so Einkäufe mit falscher Identität tätigen. Das funktioniert allerdings nur dann, wenn der Bestohlene die gleichen Zugangsberechtigungen für verschiedene Dienste benutzt.
Im Internet existieren umfangreiche schwarze Listen mit Anmeldedaten von Personen. Dabei werden häufig Bots eingesetzt mit denen das Anmeldeverfahren von den Bots automatisch durchgeführt wird.
Credential Stuffing fällt den Angegriffenen erst dann auf, wenn der Schaden bereits entstanden ist, beispielsweise eine Online-Bestellung getätigt wurde.