Ο πάροχος διαχείρισης κωδικών πρόσβασης είπε ότι επηρεάστηκαν περίπου 20 λογαριασμοί.
Dashlane, κατασκευαστής ενός διαχειριστή κωδικών πρόσβασης με το ίδιο όνομα, κοινόχρηστο Ότι τα θησαυροφυλάκια κωδικών πρόσβασης πολλών χρηστών εκτέθηκαν ως μέρος μιας “επίθεσης ωμής βίας”. Οι χάκερ μπόρεσαν να κατεβάσουν αντίγραφα περίπου 20 θυρίδων κωδικών πρόσβασης χρηστών, αν και ο Dashlane σημειώνει ότι τα δεδομένα του θησαυροφυλακίου είναι κρυπτογραφημένα εκτός εάν έχουν πρόσβαση στον κύριο κωδικό πρόσβασης του χρήστη.
Οι χάκερ δεν απέκτησαν πρόσβαση στο θησαυροφυλάκιο κωδικών πρόσβασης διακυβεύοντας τα εσωτερικά συστήματα του Dashlane, σύμφωνα με Μια σελίδα κατάστασης Dashlane Τεκμηριώστε την επίθεση. Αντίθετα, προσπάθησαν να παίξουν το σύστημα ελέγχου ταυτότητας δύο παραγόντων της εταιρείας, το επιπλέον επίπεδο ασφαλείας που απαιτεί να παρέχετε έναν κωδικό πρόσβασης που αποστέλλεται μέσω κειμένου ή email μαζί με το όνομα χρήστη και τον κωδικό πρόσβασής σας για να συνδεθείτε.
«Ο στόχος της επίθεσης ήταν να ενισχυθούν οι προστασίες ελέγχου ταυτότητας δύο παραγόντων (2FA) για να επιτραπεί σε έναν εισβολέα να καταχωρήσει νέες συσκευές με υπάρχοντες λογαριασμούς χρηστών», είπε ο Dashlen. Οι εισβολείς πιθανότατα χρησιμοποίησαν “αυτοματοποιημένο λογισμικό για να υποβάλουν γρήγορα κάθε πιθανό συνδυασμό αριθμών” στο σύστημα ελέγχου ταυτότητας δύο παραγόντων του Dashlane, ουσιαστικά με πρόσβαση σε λογαριασμούς μέσω ενός περίτεχνου συστήματος δοκιμής και λάθους.
Η Engadget επικοινώνησε με τον Dashlane για περισσότερες πληροφορίες σχετικά με την επίθεση και τον τρόπο με τον οποίο σχεδιάζει να αποτρέψει μελλοντικά περιστατικά Θα ενημερώσουμε αυτό το άρθρο μόλις λάβουμε νέα.
Η Dashlane είπε ότι οι έλεγχοι ασφαλείας της κλειδώνουν αυτόματα τους λογαριασμούς που έχουν στοχεύσει οι χάκερ λόγω μεγάλου όγκου προσπαθειών σύνδεσης. Οι χρήστες που επηρεάστηκαν από την επίθεση έχουν ειδοποιηθεί. Η εταιρεία είπε επίσης ότι «οι απειλές εμπόδισαν την κυκλοφορία». Σύμφωνα με τον Dashlane, “έχει λάβει μέτρα για να μειώσει τον κίνδυνο μελλοντικών ατυχημάτων”, αλλά η εταιρεία εξακολουθεί να συνιστά στους χρήστες να ελέγχουν ποιες συσκευές σχετίζονται με τους λογαριασμούς τους, να ενεργοποιούν τον έλεγχο ταυτότητας δύο παραγόντων και να χρησιμοποιούν έναν ισχυρό κύριο κωδικό πρόσβασης.
