O principal gerenciador de senhas, Dashlane, revelou que hackers aproveitaram uma falha de segurança no sistema de login online do serviço para roubar armazenamento criptografado de menos de 20 usuários.
O roubo ocorreu em um domingo e o Dashlane o relatou pela primeira vez no dia seguinte. No entanto, os primeiros relatórios nos deixaram confusos porque não estava totalmente claro como os hackers baixaram o cofre de senhas criptografadas dos usuários afetados.
(Crédito: Dashlane)
Naquela época, a empresa disse Os hackers lançaram um “ataque de força bruta” contra a autenticação de dois fatores (2FA) do Dashlane, tentando sistematicamente todas as combinações possíveis. O objetivo do hacker era adicionar dispositivos às contas de usuários existentes, inserindo a combinação correta.
O problema é que o processo 2FA exige que o usuário insira a senha correta antes de solicitar um código, que normalmente é gerado no telefone ou enviado para o endereço de e-mail do usuário. No entanto, Dashlane disse que como a “senha mestra” nunca foi roubada, quaisquer dados do cofre saqueados devem permanecer criptografados e inacessíveis aos invasores.
Na quinta-feira a empresa finalmente Forneceu mais detalhesRevelou um recurso interessante do sistema de login do Dashlane. para conta específicaEnvie dados criptografados do cofre sem uma senha mestra. Tudo que você precisa fazer é inserir o código de verificação correto de 6 dígitos.
Em particular, os hackers visaram o “fluxo de registro de dispositivos”, que permite aos usuários adicionar novos telefones ou computadores às suas contas. O Dashlane primeiro pede o endereço de e-mail do titular da conta. O processo então tenta confirmar a aprovação: compensação Em vez de solicitar uma senha na primeira etapa, os usuários inserem um código único de seis dígitos usando seu endereço de e-mail registrado. O código de 6 dígitos também pode ser gerado a partir de um aplicativo de autenticação registrado.
(Crédito: Dashlane)
Em uma atualização, o Dashlane explicou: “Quando o usuário insere esse código no aplicativo Dashlane, o Dashlane registra o dispositivo e baixa uma cópia do armazenamento criptografado para o dispositivo”.
Parece que pode haver uma falha porque significa que um hacker poderia, teoricamente, adivinhar e inserir o código correto de seis dígitos para baixar o armazenamento criptografado de um usuário. O hacker só precisa saber o endereço de e-mail da conta da vítima e fazer tentativas suficientes para adivinhar o código correto. Um número de seis dígitos significa que um milhão de combinações podem ser testadas e, como a Ars Technica, é quase certo que hackers atacaram os sistemas de TI do Dashlane. apontar.
Página de suporte do Dashlane adicionar: “Depois que um dispositivo é autenticado em nossos servidores, o dispositivo pode baixar o armazenamento do usuário em um formato criptografado (cf. 3.2 Modelo de criptografia: sigilo e proteção). Os usuários podem então descriptografar o repositório fornecendo sua senha mestra.”
Depois que nossa história foi publicada, Dashlane disse a Garon: “Queremos deixar claro que é uma fraqueza, mas não uma vulnerabilidade, que reforçamos com uma camada adicional de proteção”.
Escolhas do Editor
Na atualização, a empresa afirmou: “Sem uma senha mestra, os usuários não poderão acessar os itens dentro do cofre. criptografia de cofre O (Argon2 + AES-256-CBC + HMAC-SHA256) usado pelo Dashlane garante que qualquer tentativa de obter acesso ao seu cofre tem probabilidade estatisticamente improvável de sucesso, mesmo durante um longo período de tempo.”
Além disso, a empresa não armazena “senhas mestras ou senhas derivadas” em seus servidores, por isso pode ter contado com um código de seis dígitos para verificação. Para enfrentar a ameaça, diz Dashlane, “uma camada adicional de verificação também está sendo adicionada ao novo fluxo de registro de dispositivos. Este comunicado será atualizado à medida que essas mudanças forem implementadas”.
A empresa também disse que “implantou proteções adicionais no nível da rede e dentro de nossos produtos para detectar e filtrar ainda mais o tráfego malicioso”. Isto sugere que a limitação de taxa foi implementada para evitar futuros ataques de força bruta.
Nota do editor: Esta história foi atualizada com comentários do Dashlane.
Introdução aos especialistas
Michael Kahn
repórter sênior
experiência
Sou jornalista há mais de 15 anos. Comecei como repórter de escolas e cidades em Kansas City e entrei na Garon em 2017, cobrindo serviços de Internet via satélite, segurança cibernética, hardware de PC e muito mais. Atualmente moro em São Francisco, mas já passei mais de 5 anos na China cobrindo o setor de tecnologia do país.
Desde 2020, cobri o lançamento e o crescimento explosivo do serviço de internet via satélite Starlink da SpaceX, escrevendo mais de 600 artigos sobre disponibilidade e lançamento de recursos, bem como batalhas regulatórias em torno da expansão da constelação de satélites, batalhas com provedores concorrentes como AST SpaceMobile e Amazon, e esforços para expandir para serviços móveis baseados em satélite. Vasculhei os arquivos da FCC em busca das últimas notícias e dirigi até uma parte remota da Califórnia para testar o serviço de celular da Starlink.
Também cobrimos ameaças cibernéticas, desde grupos de ransomware até o surgimento de malware baseado em IA. Como revelou meu relatório conjunto, a FTC forçou a Avast a pagar aos consumidores US$ 16,5 milhões em 2024 e 2025 por coletar secretamente suas informações pessoais e vendê-las a clientes terceiros. inspeção Com placa-mãe.
Também cobrimos o mercado de placas gráficas para PC. A escassez da era pandêmica me levou a acampar na frente da Best Buy para comprar um RTX 3000. Agora estou observando para ver como a escassez de memória baseada em IA impacta o mercado geral de eletrônicos de consumo. Estou sempre interessado em aprender mais, então deixe sua opinião nos comentários e me envie suas dicas.
Leia a biografia completa
