Dashlane sqaron vjedhjen e 20 arkivave, por mbetet pa detaje
Një njoftim i publikuar nga menaxheri i fjalëkalimeve Dashlane, të premten e kaluar, ka zbuluar se një grup i jashtëm ka arritur të marrë 20 arkiva të përdoruesve të enkriptuara. Sipas kompanisë, sulmi ka filluar të dielën, 31 maj 2026, kur një palë ka nisur një sulm “brute‑force” ndaj disa llogarive, duke synuar të anashkalojë mbrojtjen dy‑faktor (2FA) për të regjistruar pajisje të reja në llogaritë ekzistuese.
Një përdorues britanik i Dashlane, i cili ka marrë një kërkesë 2FA, ka publikuar një pamje të njoftimit që doli të dielën. Pasi u shqetësua, ai u kontaktua me shërbimin e asistencës përmes një boti, por nuk mori asnjë shpjegim nga kompanija. “Më vonë e mora këtë lajmë nga komuniteti i sigurisë në Mastodon, jo nga Dashlane vetë,” tha përdoruesi, duke theksuar se si mund të dërgohet një kërkesë 2FA pa pasur më parë fjalëkalimin e saktë.
Ekspertët e sigurisë shpjegojnë se 2FA zakonisht përfshin një kod njëpërdorues që prodhohet nga një aplikacion ose dërgohet me SMS/email, i cili ndryshon çdo 45 sekonda, por në rastin e Dashlane kodi dukej se ishte i vlefshëm për tre orë. Një sulm “brute‑force” do të kërkonte të dhënë rreth një milion kombinacione, dhe për të pasur sukses brenda tre orëve do të duhej të futen një përqindje e konsiderueshme të tyre. Edhe nëse Dashlane ka vendosur kufizime në numrin e përpjekjeve, një fluks prej 150 000 kërkesash brenda një ore do të kishte ngarkuar serverët e tyre.
Analistët sugjerojnë se “2FA fatigue” – dërgimi i vazhdueshëm i njoftimeve për të shtyrë përdoruesin të aprovojë hyrjen – mund të jetë metoda e përdorur, pasi sulmuesi ka thjesht thyer faktorin e parë të autentifikimit dhe pastaj ka përçarë përdoruesin me kërkesa të shumta. Një tjetër mundësi është shfrytëzimi i funksionit të regjistrimit të pajisjeve të reja, ku sulmuesi bën të pamundur që përdoruesi të njohë se po aprovon një pajisje të tij.
Dashlane ka kontaktuar më pak se 20 përdorues të prekur për t’u njoftuar për vjedhjen e arkivave të tyre të enkriptuara, duke theksuar se pa fjalëkalimin master, i cili asnjëherë nuk ruhet nga Dashlane, përmbajtja e arkivave mbetet e sigurt. Për përdoruesit që nuk kanë marrë ndonjë mesazh specifik, kompania deklaron se nuk ka ndonjë ndikim në llogarinë e tyre. Megjithatë, pas më shumë se 48 orë që nga publikimi i njoftimit, Dashlane ka mbetur pa fjalë, pa iu përgjigjur kërkesave për informacione shtesë nga media.
Ky rast lë shumë pyetje të hapura dhe tregon nevojën për transparencë më të madhe nga kompanitë e menaxhimit të fjalëkalimeve, veçanërisht kur përfitojnë të dhëna të ndjeshme të përdoruesve.