Le Credential stuffing désigne l'utilisation d'informations de connexion volées pour obtenir un accès automatisé à plusieurs comptes par le biais d'un seul compte. Cet exploit permet aux pirates d'accéder non seulement aux comptes des sites volés, mais aussi à tout autre compte pour lequel la victime a utilisé le même mot de passe. Les pirates peuvent être en mesure de vendre des identifiants, des mots de passe et des adresses électroniques après avoir obtenu des identifiants de connexion sur divers sites web. Ces listes sont souvent vendues dans la clandestinité et sur le dark internet. Que les listes soient vendues ou utilisées par le pirate lui-même, il est probable que le détenteur des détails du compte voudra en tirer le plus de valeur possible. Même si un seul compte a été violé, cela peut conduire à la compromission simultanée d'autres sites utilisés par la victime, car les informations d'identification sont saisies pour plusieurs sites à l'aide de connexions automatiques. L'attaquant peut compromettre plusieurs comptes avant même que la victime ne se rende compte qu'ils ont été compromis. Le bourrage de crédits menace aussi bien les consommateurs que les entreprises. Dans le secteur de la vente au détail au Royaume-Uni, on affirme que plus de 90 % des connexions proviennent d'attaques par bourrage d'identifiants plutôt que d'utilisateurs authentiques. L'élimination de ces connexions pourrait avoir un impact significatif sur la diminution de ce phénomène.
Du point de vue de l'utilisateur final, il est recommandé de créer des mots de passe différents et suffisamment forts pour chaque site. Des outils tels que Fortiguard ou Blackfish de Shape Security peuvent être utilisés pour lutter contre le "credential stuffing".