Компанія Dashlane, розробник популярного менеджера паролів, повідомила, що під час кібератаки на вихідних хакери отримали доступ до щонайменше десятка зашифрованих сховищ (vaults), у яких зберігалися паролі користувачів.
На своєму сайті компанія заявила, що зловмисники змогли здійснити brute-force атаку на систему двофакторної автентифікації (2FA), завдяки чому отримали доступ приблизно до 20 облікових записів користувачів. Подолавши захист 2FA, хакери змогли завантажити копії зашифрованих сейфів деяких клієнтів, де зберігаються їхні паролі та інші чутливі облікові дані.
Dashlane на сторінці інциденту зазначила, що немає доказів компрометації її власних внутрішніх систем. Водночас компанія поки не пояснила, як саме зловмисникам вдалося обійти захист двофакторної автентифікації, щоб отримати доступ до облікових записів. 2FA — це функція безпеки, що захищає акаунти від доступу лише за вкраденим логіном і паролем, зазвичай вимагаючи додатковий код, який надсилається на телефон власника облікового запису.
«Метою атаки було brute-force зламати захист двофакторної автентифікації (2FA), щоб дозволити зловмиснику реєструвати нові пристрої в існуючих облікових записах користувачів», — заявили в Dashlane. За словами компанії, атакувальники можуть використовувати автоматизоване програмне забезпечення, щоб «швидко надсилати всі можливі числові комбінації в систему, сподіваючись вгадати точну послідовність до того, як короткочасний [2FA] код безпеки спливе».
Компанія повідомила, що «вжила заходів для зниження ризику майбутніх інцидентів», але не уточнила, про які саме кроки йдеться.
Dashlane поінформувала близько 20 клієнтів, зашифровані сейфи яких були викрадені. Поки що неясно, чи були ці конкретні користувачі обрані цілеспрямовано — наприклад, через їхню посаду, публічність або рід занять.
Представники Dashlane не відповіли на запит щодо коментаря. Компанія також не повідомила, чи знає вона, хто саме націлився на її користувачів, і чи виходили хакери на зв’язок із якимись вимогами, наприклад щодо викупу.
Викрадені сейфи зашифровані й не можуть бути прочитані без майстер-пароля користувача. Цей пароль відомий лише власнику акаунта й не завантажується на сервери Dashlane у відкритому вигляді, йдеться на сайті компанії. Водночас Dashlane попереджає, що користувачі з простими, легко вгадуваними майстер-паролями можуть бути підвищено вразливими до того, що їхній пароль підберуть і розшифрують вміст сейфа.
Утечки даних, що стосуються компаній-розробників менеджерів паролів, трапляються рідко, але можуть мати довготривалі наслідки.
У 2022 році LastPass підтвердила, що резервні копії сейфів користувачів були викрадені під час кібератаки. Хоча сейфи були захищені паролями, відомими лише клієнтам, вимоги до паролів для перших користувачів були значно слабшими, ніж у подальшому. Це дозволило хакерам застосувати brute-force і відносно легко вгадати майстер-паролі до сейфів частини користувачів. Після цього з’явилося кілька повідомлень про те, що зловмисники викрали значні обсяги криптовалюти, ймовірно, використовуючи приватні ключі з викрадених сейфів LastPass, майстер-паролі до яких було зламано після інциденту.