Dashlane zbulon se si sulmuesit arritën të shkarkojnë arkivat e enkriptuara të fjalëkalimeve
Dashlane ka konfirmuar se një grup i panjohur sulmuesish ka nisur një fushatë koordinuar kundër bazës së saj të përdoruesve, duke synuar të shkarkojë sa më shumë arkiva të enkriptuara të fjalëkalimeve. Sipas deklaratës së kompanisë, përpara se të ndërprente operacioni, u shkarkuan më pak se 20 arkiva personale, pasi sulmuesit shfrytëzuan mekanizmin e regjistrimit të pajisjeve të reja në llogaritë e përdoruesve.
Sulmi filloi të dielën dhe përfshinte abuzimin e API‑ve për regjistrimin e pajisjeve, ku sulmuesit dërguan kërkesa automatike në adresat e email‑eve të shumë përdoruesve të regjistruar. Duke përdorur një sulm “brute‑force” në kodin e një herë, një token gjashtë‑shifror, ata arritën të prodhojnë tokena të vlefshme për disa llogari dhe të regjistrojnë pajisje të reja, duke shkarkuar kështu kopje të arkivave të enkriptuara. Sipas Dashlane, sistemi i sigurisë automatike i kompanisë aktivizoi bllokimin e llogarive të prekura, por para se sulmi të neutralizohej plotësisht, sulmuesit arritën të krijojnë më pak se 20 tokena të vlefshme për përdorues me planin personal.
Për të hyrë në përmbajtjen e arkivave, sulmuesit do të duhej të thyejnë fjalëkalimin master, i cili është i mbrojtur nga algoritmi Argon2. Ky algoritëm ngadalëson ndjeshëm procesin e konvertimit të fjalëkalimit në hash kriptografik, duke e bërë të vështirë për sulmuesit të provokojnë një sërë të madhe provash me GPU‑ra ose hardware të posaçëm. Nëse fjalëkalimi master është i fortë – i gjatë, i rastësishëm dhe me entropi të lartë – shanset për dekriptimin e arkivit janë shumë të ulëta; megjithatë, nëse përdoruesi ka zgjedhur një fjalëkalim të thjeshtë, probabiliteti rritet, edhe pse mbetet i ulët.
Incidenti ka ngjashmëri me sulmin ndaj LastPass në vitin 2022, ku sulmuesit gjithashtu morën arkiva të enkriptuara dhe, në disa raste, arritën të shohin të dhëna pa fjalëkalimin master, për shkak se disa fusha, si URL‑të e faqeve, nuk ishin enkriptuar. Dashlane ka konfirmuar se ka kontaktuar të gjithë përdoruesit të prekur dhe se ata që nuk kanë marrë ende njoftim janë të pakënaqur nga incidenti.