Δεν έχουν προστεθεί πολλά στον διαχειριστή κωδικών πρόσβασης Dashlane, μια συμβουλή ασφαλείας που δημοσιεύτηκε τη Δευτέρα, προειδοποιώντας ότι οι εισβολείς κατάφεραν να αποκτήσουν 20 κρυπτογραφημένες θυρίδες χρηστών.
“Ξεκινώντας την Κυριακή, 31 Μαΐου 2026, μια εξωτερική ομάδα εξαπέλυσε μια επίθεση ωμής βίας εναντίον ορισμένων λογαριασμών χρηστών Dashlane”, δήλωσε η εταιρεία. είπε. «Ο στόχος της επίθεσης ήταν να ανατρέψει τις προστασίες ελέγχου ταυτότητας δύο παραγόντων (2FA) για να επιτρέψει σε έναν εισβολέα να καταχωρήσει νέες συσκευές με υπάρχοντες λογαριασμούς χρηστών».
Γεια, Dashlane, κάποιος σπίτι;
Ένας χρήστης του Dashlane που έλαβε ένα τέτοιο αίτημα 2FA έδωσε αυτό το στιγμιότυπο οθόνης της ειδοποίησης, η οποία έφτασε την Κυριακή.
Ο χρήστης με έδρα το Ηνωμένο Βασίλειο ανησύχησε και επικοινώνησε με το Dashlane μέσω ενός ρομπότ υποστήριξης. Τελικά ο χρήστης δεν λαμβάνει καμία πληροφορία σχετικά με το γιατί στάλθηκε η ειδοποίηση.
«Τότε (εγώ) ανακάλυψα αυτά τα νέα από τη Mastodon Infosec και όχι από τον ίδιο τον Dashlane», μου είπε ο χρήστης. “Επί του παρόντος προσπαθώ να καταλάβω τι συνέβη! Γιατί πώς μπορείτε να ενεργοποιήσετε ένα αίτημα 2fa εάν δεν έχετε τον κωδικό πρόσβασης εξαρχής; Ως πελάτης που πληρώνει, νομίζω ότι έπρεπε να το γνωρίζω από το Dashlane, όχι από τα παιδιά της Mastodon infosec.”
Δεκάδες συζητήσεις στα μέσα κοινωνικής δικτύωσης είναι γεμάτες με παρόμοια σχόλια από χρήστες που δεν καταλαβαίνουν καν τους βασικούς μηχανισμούς αυτής της επίθεσης. Συνήθως, οι προστασίες 2FA έχουν τη μορφή ενός κωδικού πρόσβασης μίας χρήσης που δημιουργείται από μια εφαρμογή ελέγχου ταυτότητας ή αποστέλλεται μέσω κειμένου ή email. Αυτά είναι συνήθως έξι ψηφία και αλλάζουν κάθε 45 δευτερόλεπτα περίπου, αν και όπως αναφέρθηκε παραπάνω, ο κωδικός ίσχυε για τρεις ώρες.
Το Brute-forcing είναι μια μέθοδος δοκιμής και σφάλματος που υποβάλλει γρήγορα κάθε πιθανό συνδυασμό μέχρι να προσγειωθεί σωστά. Σύμφωνα με αυτές τις παραδοχές, θα υπήρχαν 1 εκατομμύριο πιθανοί κωδικοί πρόσβασης. Μια επιτυχής παραβίαση απαιτεί ένα στατιστικά σημαντικό ποσοστό από αυτούς να εισέλθουν μέσα σε ένα παράθυρο τριών ωρών.
Αν και οι πόροι που απαιτούνται για τον βομβαρδισμό των διακομιστών Dashlane με όγκους εικασιών σε τόσο σύντομο χρονικό διάστημα είναι δυνατοί, δεν είναι συνήθως διαθέσιμοι σε μια επίθεση ωμής βίας. Το Dashlane δεν δηλώνει ρητά ότι βάζει όριο ποσοστού στον αριθμό των υποβολών που μπορεί να κάνει ένας χρήστης, αν και φαίνεται πιθανό με βάση τη γλώσσα της συμβουλευτικής ότι “Λόγω του μεγάλου όγκου προσπαθειών σε λογαριασμούς χρηστών, τα στοιχεία ελέγχου ασφαλείας του Dashlane κλειδώνουν αυτόματα λογαριασμούς που στοχεύουν επιθέσεις”. Ακόμη και αν υποθέσουμε ότι δεν υπήρχε περιορισμός ρυθμού, είναι δύσκολο να φανταστεί κανείς ότι οι διακομιστές Dashlane δεν πνίγονται τουλάχιστον προσωρινά όταν γίνονται 150.000 ή περισσότερες υποβολές σε μια ώρα.
