Intrusion dans un système ou un compte. Les mots de passe utilisés à cette fin ont été précédemment perdus lors d'une fuite de données.
Il existe d'innombrables listes circulant sur Internet où figurent des combinaisons de login/mot de passe issues de fuites de données. La plupart du temps, il s'agit de fuites provenant de services Internet. Ces fuites peuvent également résulter de tentatives d’hameçonnage. Les escrocs collectent ces listes, les recomposent et utilisent les mots de passe pour lancer des attaques automatisées sur d'autres services dans l'espoir qu'une personne n'utilise qu'un seul mot de passe pour plusieurs services.
Par exemple, si des escrocs sont en possession des données d'accès de votre service de courrier électronique, ils utiliseront ces mêmes données de connexion pour lancer des demandes automatisées auprès de boutiques ou de banques en ligne, ou même de comptes d'entreprise.