Gli hacker hanno forzato il 2FA di Dashlane, scaricando i vault crittografati.

Gli hacker hanno forzato il 2FA di Dashlane, scaricando i vault crittografati.

      TL;DRGli aggressori hanno forzato il sistema 2FA di Dashlane per registrare nuovi dispositivi su meno di 20 account, scaricando i loro vault di password crittografate. I vault rimangono crittografati con password master che Dashlane non memorizza mai, ma gli utenti con password deboli affrontano il rischio di cracking offline.

      Dashlane ha rivelato domenica che un aggressore esterno ha lanciato un attacco di forza bruta contro il suo sistema di autenticazione a due fattori, bypassando con successo le protezioni 2FA su meno di 20 account di utenti del piano personale e scaricando copie dei loro vault di password crittografate. L'attacco, iniziato il 31 maggio, ha attivato blocchi automatici degli account su un insieme più ampio di utenti mirati poiché i controlli di sicurezza di Dashlane hanno rilevato l'alto volume di tentativi di autenticazione.

      Il metodo era semplice. Gli aggressori hanno utilizzato software automatizzati per inviare rapidamente ogni possibile combinazione numerica per i codici 2FA basati sul tempo, tentando di indovinare la sequenza corretta prima che ciascun codice a vita breve scadesse. Quando hanno avuto successo, questo ha permesso loro di registrare un nuovo dispositivo sull'account mirato, il che a sua volta ha dato loro l'accesso necessario per scaricare il vault crittografato dell'utente dai server di Dashlane.

      Cosa è stato rubato e cosa significa

      I vault crittografati contengono le password memorizzate dall'utente, note sicure e altre credenziali, ma sono crittografati con la password master dell'utente, che Dashlane afferma non venga mai inviata ai suoi server in testo semplice. L'architettura a zero conoscenze significa che anche con una copia del vault, un aggressore non può accedere ai suoi contenuti senza la password master. Dashlane afferma che la crittografia del suo vault "garantisce che qualsiasi tentativo di accedere al vault sia statisticamente improbabile che abbia successo, anche nel lungo periodo".

      Il 💜 della tecnologia UE

      Le ultime notizie dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!

      Quella garanzia vale solo se gli utenti interessati hanno scelto password master forti e uniche. Se uno degli utenti, meno di 20, i cui vault sono stati scaricati, ha utilizzato password master deboli o riutilizzate, quei vault potrebbero essere compromessi offline utilizzando attacchi di dizionario o metodi di forza bruta. Gli attacchi di credential stuffing, che utilizzano password esposte in altre violazioni, sono particolarmente efficaci contro gli utenti che riutilizzano le credenziali tra i servizi.

      La debolezza del 2FA

      L'attacco ha sfruttato una limitazione fondamentale dei codici 2FA basati su password monouso temporali (TOTP): sono tipicamente sei cifre, offrendo solo un milione di combinazioni possibili per finestra di 30 secondi. I sistemi automatizzati possono inviare migliaia di tentativi al secondo e, se il rate limiting non è sufficientemente aggressivo, la probabilità di indovinare un codice valido durante la sua vita diventa non banale dopo molti tentativi.

      I controlli di sicurezza di Dashlane hanno rilevato l'attacco e bloccato gli account interessati, il che ha impedito compromissioni più ampie ma ha causato interruzioni per gli utenti legittimi che si sono trovati bloccati. La tensione tra i blocchi di sicurezza e l'esperienza dell'utente è una sfida ricorrente per i sistemi di autenticazione: i blocchi aggressivi fermano gli aggressori ma creano anche effetti di negazione del servizio per gli utenti reali.

      Dashlane afferma che la sua indagine non ha trovato prove che i propri sistemi siano stati compromessi. L'attacco ha preso di mira gli account degli utenti esternamente piuttosto che sfruttare una vulnerabilità nell'infrastruttura di Dashlane.

      L'eco di LastPass

      L'incidente attirerà inevitabilmente confronti con la violazione di LastPass del 2022, in cui gli aggressori hanno rubato vault di password crittografate appartenenti a milioni di utenti. In quel caso, i ricercatori hanno successivamente confermato che alcuni vault con password master deboli erano stati compromessi, portando a furti di criptovalute e altri danni nel mondo reale. Le forze dell'ordine hanno sempre più preso di mira l'infrastruttura dei criminali informatici, ma il cracking offline dei vault avviene al di là della portata di qualsiasi protezione lato server.

      La scala è diversa, meno di 20 vault contro milioni, ma il principio è identico: un vault crittografato è sicuro solo quanto la password master che lo protegge. Il consiglio di Dashlane agli utenti interessati è di rivedere i dispositivi registrati, rimuovere quelli non riconosciuti, abilitare il 2FA se non già attivo e, cosa più critica, utilizzare una password master forte e unica che sia lunga e difficile da indovinare.

      La divulgazione segue pratiche di comunicazione sulla sicurezza responsabili, con Dashlane che pubblica il suo avviso prontamente e fornisce passaggi specifici per la risoluzione. Ma l'incidente solleva una domanda più ampia per l'industria dei gestori di password: se il 2FA può essere forzato per registrare nuovi dispositivi, quali ulteriori livelli di autenticazione sono necessari per proteggere il prodotto di sicurezza per i consumatori più sensibile che la maggior parte delle persone utilizza?

Altri articoli

La Polonia introduce La Polonia introduce Il PM polacco Tusk annuncia un test di sovranità per gli acquisti tecnologici statali e rapporti annuali sull'indipendenza IT, avvertendo che la dipendenza dall'IA straniera minaccia la sicurezza e l'economia. RogueDB introduce una piattaforma di database semplificata progettata per ridurre il lavoro di infrastruttura per startup e team IT. RogueDB introduce una piattaforma di database semplificata progettata per ridurre il lavoro di infrastruttura per startup e team IT. RogueDB offre un database completamente gestito, guidato da API, che elimina il sovraccarico di configurazione e ottimizzazione, con l'obiettivo di dare ai team di ingegneria delle startup più tempo per costruire prodotti invece di mantenere l'infrastruttura. Il piano della gigafactory AI dell'UE inciampa mentre i ritardi allontanano i partner Il piano della gigafactory AI dell'UE inciampa mentre i ritardi allontanano i partner Il piano da 20 miliardi di euro dell'UE per cinque centri dati di intelligenza artificiale affronta ritardi e lacune di finanziamento, con le offerte posticipate a luglio, l'interesse ridotto da 70 aziende a 10 e i consorzi che stanno riconsiderando. Amazon annuncia la data delle vendite del Prime Day e quest'anno si svolgerà un po' prima. Amazon annuncia la data delle vendite del Prime Day e quest'anno si svolgerà un po' prima. Il Prime Day è tornato e arriva prima che mai. Dal 23 al 26 giugno di quest'anno rispetto all'8 luglio dell'anno scorso. Il chip quantistico Majorana 2 di Microsoft è 1.000 volte più affidabile, obiettivo 2029. Il chip quantistico Majorana 2 di Microsoft è 1.000 volte più affidabile, obiettivo 2029. I qubit Majorana 2 di Microsoft durano 20 secondi rispetto ai microsecondi dei concorrenti, costruiti con AI agentica. L'azienda ora punta a un computer quantistico scalabile entro il 2029. La Polonia introduce La Polonia introduce Il Primo Ministro polacco Tusk annuncia un test di sovranità per gli acquisti tecnologici statali e rapporti annuali sull'indipendenza IT, avvertendo che la dipendenza dall'IA straniera minaccia la sicurezza e l'economia.

Gli hacker hanno forzato il 2FA di Dashlane, scaricando i vault crittografati.

Gli aggressori hanno eluso il 2FA di Dashlane su meno di 20 account forzando i codici numerici e scaricando i vault delle password crittografati. La crittografia a conoscenza zero protegge i dati se le password master sono forti.