De Australische politie heeft een 21-jarige man uit Sydney aangehouden op verdenking van het verkopen van gestolen inloggegevens voor allerlei online abonnementsdiensten, waaronder Netflix, Spotify en Hulu. De wachtwoorden werden via de website WickedGen tegen betaling aangeboden.

De website, die twee jaar online was, claimde bijna één miljoen wachtwoorden en gebruikersnamen en 120.000 leden te hebben. Volgens de Australische politie verdiende de man, als beheerder van de website, omgerekend 188.000 euro met de verkoop van de gestolen inloggegevens. De inloggegevens waren via credential stuffing verkregen, zo laat de Australische politie weten.

Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts op andere websites te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is mogelijk doordat gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

De Australiër is voor in totaal vijf vergrijpen aangeklaagd, waaronder ongeautoriseerde toegang en het handelen in identiteitsgegevens. Op één van de vergrijpen, het verkrijgen van criminele inkomsten, staat een maximale gevangenisstraf van 20 jaar.