Mareridt for Dashlane: Hackere har hentet krypterede password vaults
Password manager‑virksomheden Dashlane oplyser, at hackere under et cyberangreb i weekenden har fået adgang til og downloadet mindst et dusin krypterede vaults, som bruges til opbevaring af kunders passwords og andre følsomme oplysninger.
Det skriver Tech Crunch.
Ifølge Dashlane lykkedes det angriberne at brute‑force virksomhedens to‑faktor‑autentificering (2FA), hvilket gav adgang til omkring 20 kundekonti. Ved at omgå 2FA‑mekanismen kunne angriberne registrere nye enheder på eksisterende konti og derfra hente kopier af udvalgte kunders krypterede vaults.
Dashlane skriver på sin hjemmeside, at der ikke er tegn på kompromittering af virksomhedens egne systemer. Samtidig har virksomheden endnu ikke forklaret, hvordan angriberne konkret formåede at besejre 2FA‑beskyttelsen, som netop skal forhindre adgang udelukkende baseret på stjålne brugernavne og passwords.
Brute‑force mod to‑faktor‑beskyttelse
Ifølge Dashlane var angrebets formål at gennemtvinge to‑faktor‑autentificeringen ved hjælp af automatiserede forsøg.
“Angrebets mål var at brute‑force 2FA‑beskyttelsen for at gøre det muligt at registrere nye enheder på eksisterende brugerkonti,” oplyser virksomheden. Dashlane beskriver, hvordan angribere med automatiseret software kan indsende alle mulige numeriske kombinationer i hurtigt tempo i håb om at ramme den korrekte kode, inden den kortlivede 2FA‑kode udløber.
Virksomheden oplyser, at den har “taget skridt til at reducere risikoen for fremtidige hændelser”, men uden at gå i detaljer om, hvilke tekniske eller organisatoriske tiltag der er tale om.
Dashlane har underrettet de omkring 20 kunder, hvis krypterede vaults er blevet stjålet. Det er endnu uklart, om de berørte kunder er blevet udvalgt målrettet, for eksempel på baggrund af deres rolle, arbejdsområde eller andre karakteristika.
Dashlanes talspersoner har ikke besvaret henvendelser om sagen. Virksomheden har heller ikke oplyst, om den har identificeret angriberne, eller om der er fremsat krav, eksempelvis i form af afpresning.
Krypterede vaults – men ikke risikofrie
De stjålne vaults er krypterede og kan ikke læses uden kundens master‑password, som ifølge Dashlane kun er kendt af kunden selv og ikke lagres i klartekst hos virksomheden. Alligevel advarer Dashlane om, at kunder med svage eller let gættelige master‑passwords kan være i forhøjet risiko for, at deres vaults kan blive dekrypteret.
Hændelsen føjer sig til en kort, men opsigtsvækkende række af sikkerhedsbrud hos leverandører af password managers. Selvom denne type brud er relativt sjældne, kan konsekvenserne være langvarige.
I 2022 bekræftede LastPass, at backups af kunders password vaults blev stjålet under et cyberangreb. Selvom vaults også her var beskyttet af master‑passwords, viste det sig, at ældre krav til password‑styrke gjorde det muligt for angribere at brute‑force og knække en del af dem. Efterfølgende er der rapporteret om omfattende tyverier af kryptovaluta, sandsynligvis via private nøgler gemt i kompromitterede LastPass‑vaults.
Året før advarede den australske softwarevirksomhed Click Studios alle kunder, der brugte password manager‑produktet Passwordstate, om at nulstille samtlige credentials, efter at angribere havde kompromitteret virksomhedens opdateringsmekanisme og plantet malware hos kunderne.