Dashlane zbulohet se sulmuesit kanë shkarkuar disa depozita të enkriptuara të fjalëkalimeve
Dashlane ka konfirmuar se një grup i panjohur sulmuesish ka nisur një fushatë koordinuar për të përfituar nga mekanizmi i regjistrimit të pajisjeve të reja në llogaritë e përdoruesve të saj. Duke shfrytëzuar API‑të për shtimin e pajisjeve, sulmuesit kanë dërguar kërkesa në masë te adresat e email‑eve të përdoruesve ekzistues, duke provuar të gjenerojnë tokenë të vlefshëm për regjistrim. Sipas një përditësimi të publikuar të enjti, sulmuesi ka përdorur një sulm “brute‑force” për të dërguar një numër të madh kërkesash automatike drejt pikave të fundit të API‑s për regjistrim pajisjesh.
Sistemet automatike të sigurisë së Dashlane‑s kanë vepruar sipas planit dhe kanë bllokuar llogaritë e synuara, por para se të arrinte një zgjidhje e plotë, sulmuesit arritën të prodhojnë tokenë të vlefshëm për më pak se 20 përdorues me planin personal. Këto tokenë u përdorën për të regjistruar pajisje të reja dhe për të shkarkuar kopje të depoziteve të enkriptuara të fjalëkalimeve. Dashlane ka kontaktuar të gjithë përdoruesit e prekur dhe ka siguruar se ata që nuk kanë marrë një njoftim janë të paprekur.
Për të deshifruar përmbajtjen e depozitave, sulmuesit do të duhej të thyejnë fjalëkalimin master, i cili është mbrojtur me algoritmin Argon2 që ngadalëson ndjeshëm procesin e krijimit të hash‑it kriptografik. Nëse fjalëkalimi master është i fortë – i gjatë, i rastësishëm dhe me entropi të lartë – shanset për deshifrimin janë shumë të ulëta, edhe pse nëse përdoret një fjalëkalim të thjeshtë, mundësia e suksesit rritet pak. Incidenti ka ngjashmëri me sulmin ndaj LastPass në 2022, ku sulmuesit gjithashtu arritën të marrin depozita të enkriptuara dhe, në disa raste, të deshifronin informacionin përmes dobësive të tjera.
