Toutefois, plusieurs sources indiquent que Varun aurait en réalité utilisé une technique appelée le bourrage d’identifiants (credential stuffing), dont la technique se rapproche par exemple des mécanismes du DDoS. Cette méthode consiste à tester massivement des couples identifiants/mots de passe provenant de précédentes fuites pour accéder à des comptes sur d’autres plateformes.

Xavier Mathis, DG France d’Okta, commente la technique mise en place par Varun :
“Cette actualité récente autour des « fuites » chez EDF et Conforama met en lumière un problème majeur : le réemploi des mots de passe. Ce que certains pirates présentent comme une brèche massive n’est en réalité qu’une attaque par bourrage d’identifiants, une technique qui exploite la réutilisation des mots de passe déjà compromis sur d’autres plateformes.
En clair, Varun ne semble pas avoir "hacké" directement les systèmes d’EDF ou de Conforama, mais plutôt profité de la négligence des utilisateurs qui réutilisent les mêmes mots de passe. Cette technique, bien que redoutable, repose sur le fait que beaucoup de personnes utilisent encore des mots de passe identiques sur plusieurs sites et pour beaucoup, ce ne sont pas des mots de passe personnalisés sinon des combinaisons courantes. Ce type de comportement vise souvent à semer la panique et à crédibiliser les pirates pour vendre des données prétendument nouvelles, ce qui rappelle l’importance de mettre en place des méthodes de double authentification.”