Beim Credential Stuffing versuchen Angreifer, mit gestohlenen Login-Daten (engl. „Credentials“) in ein System einzudringen. Dabei probieren sie eine hohe Zahl verschiedener Credentials aus, die sie bei anderen Online-Services erbeutet haben. Ziel des Angriffs ist es, an weitere wertvolle Daten im gehackten Account zu gelangen, zum Beispiel an die Kreditkarten-Nummer oder die Adresse des Anwenders, an gespeicherte Dokumente, an Kontaktdaten – kurz: an weitere Daten, aus denen sich Profit schlagen lässt.
Statistiken zufolge ist ungefähr jeder tausendste Login-Versuch erfolgreich. Mit anderen Worten: Ein Angreifer muss im Schnitt 1.000 verschiedene Login-Daten ausprobieren, um in ein System einzudringen.