Close
PUBLICADO 07.05.2026 · ATUALIZADO 01.05.2026 · VERSÃO 1.0
Técnica de ataque cibernético automatizado em que o atacante utiliza listas de credenciais (usuário e senha) vazadas em incidentes anteriores para tentar acessar contas em outros serviços, explorando o hábito comum de reutilização de senhas pelos usuários. Diferencia-se do ataque de força bruta porque utiliza credenciais reais já comprometidas, não combinações aleatórias.Definição
Configura invasão de dispositivo informático (art. 154-A do CP) quando resulta em acesso não autorizado. É crime de alta escalabilidade — um atacante pode testar milhões de credenciais por hora usando bots automatizados. Os dados utilizados provêm de vazamentos anteriores comercializados na dark web.
Quando o acesso resulta em subtração patrimonial, configura furto mediante fraude eletrônica. A prevenção depende de autenticação multifator e de mecanismos de detecção de comportamento anômalo (rate limiting, CAPTCHA).
Art. 154-A do Código Penal (invasão de dispositivo informático). Art. 155, §4º-B, do Código Penal (furto mediante fraude eletrônica). Lei 14.155/2021 (agravantes para fraudes digitais).
Código Penal Brasileiro.
Torna mais graves crimes praticados por meio eletrônico (estelionato eletrônico, invasão).
BIERRENBACH, Juliana. Credential stuffing. Arquivo Conceitual. TechCrime.Project. Bier.Tech, 7 maio 2026. Disponível em: https://firebrick-eel-641877.hostingersite.com/arquivo-conceitual/c/credential-stuffing/. Acesso em: [data de acesso].Como citar este verbeteReferência ABNT
ABNT NBR 6023
Toda semana, leitura crítica do que importa em direito penal e tecnologia, com os verbetes em construção comentados pela autora.Receber a LetterNovos verbetes chegam antes aos assinantes da TechCrime.Letter