Хакеры взломали двухфакторную аутентификацию Dashlane, скачали зашифрованные хранилища.

      TL;DRAтакующие использовали метод перебора для взлома системы двухфакторной аутентификации Dashlane, чтобы зарегистрировать новые устройства на менее чем 20 аккаунтах, скачав их зашифрованные хранилища паролей. Хранилища остаются зашифрованными с помощью мастер-паролей, которые Dashlane никогда не хранит, но пользователи с слабыми паролями подвергаются риску оффлайн-взлома.

      Dashlane сообщила в воскресенье, что внешний злоумышленник запустил атаку методом перебора против своей системы двухфакторной аутентификации, успешно обойдя защиту 2FA на менее чем 20 аккаунтах пользователей личного плана и скачав копии их зашифрованных хранилищ паролей. Атака, которая началась 31 мая, вызвала автоматическую блокировку аккаунтов среди более широкого круга целевых пользователей, так как системы безопасности Dashlane обнаружили высокий объем попыток аутентификации.

      Метод был простым. Злоумышленники использовали автоматизированное программное обеспечение для быстрого ввода каждой возможной числовой комбинации для временных кодов 2FA, пытаясь угадать правильную последовательность до истечения срока действия каждого краткосрочного кода. Когда это удавалось, им удавалось зарегистрировать новое устройство на целевом аккаунте, что, в свою очередь, давало им доступ, необходимый для скачивания зашифрованного хранилища пользователя с серверов Dashlane.

      Что было украдено и что это значит

      Зашифрованные хранилища содержат сохраненные пароли пользователя, защищенные заметки и другие учетные данные, но они зашифрованы с помощью мастер-пароля пользователя, который, по словам Dashlane, никогда не отправляется на его серверы в открытом виде. Архитектура нулевых знаний означает, что даже с копией хранилища злоумышленник не может получить доступ к его содержимому без мастер-пароля. Dashlane утверждает, что шифрование хранилища «обеспечивает, что любые попытки получить доступ к хранилищу статистически маловероятно, чтобы увенчались успехом, даже в течение длительного времени».

      💜 технологий ЕС Последние события в сфере технологий ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Это утверждение верно только в том случае, если затронутые пользователи выбрали сильные, уникальные мастер-пароли. Если кто-либо из менее чем 20 пользователей, чьи хранилища были скачаны, использовал слабые или повторно используемые мастер-пароли, эти хранилища могут быть взломаны оффлайн с использованием атак по словарю или методов перебора. Атаки с использованием украденных учетных данных, которые используют пароли, раскрытые в других утечках, особенно эффективны против пользователей, которые повторно используют учетные данные на разных сервисах.

      Слабость 2FA

      Атака использовала фундаментальное ограничение временных одноразовых паролей (TOTP) 2FA: они обычно состоят из шести цифр, что дает всего один миллион возможных комбинаций за 30-секундный интервал. Автоматизированные системы могут отправлять тысячи попыток в секунду, и если ограничение скорости недостаточно агрессивно, вероятность угадать действительный код в течение его срока действия становится не тривиальной при множестве попыток.

      Системы безопасности Dashlane обнаружили атаку и заблокировали затронутые аккаунты, что предотвратило более широкое компрометирование, но вызвало сбои для законных пользователей, которые оказались заблокированными. Напряжение между блокировками безопасности и пользовательским опытом является постоянной проблемой для систем аутентификации: агрессивные блокировки останавливают злоумышленников, но также создают эффекты отказа в обслуживании для реальных пользователей.

      Dashlane утверждает, что в ходе своего расследования не было найдено доказательств того, что ее собственные системы были скомпрометированы. Атака была направлена на пользовательские аккаунты извне, а не использовала уязвимость в инфраструктуре Dashlane.

      Эхо LastPass

      Инцидент неизбежно вызовет сравнения с утечкой LastPass в 2022 году, когда злоумышленники украли зашифрованные хранилища паролей, принадлежащие миллионам пользователей. В этом случае исследователи позже подтвердили, что некоторые хранилища с слабыми мастер-паролями были взломаны, что привело к кражам криптовалюты и другим реальным ущербам. Правоохранительные органы все чаще нацеливаются на инфраструктуру киберпреступников, но оффлайн-взлом хранилищ происходит за пределами любой защиты на стороне сервера.

      Масштаб отличается: менее 20 хранилищ против миллионов, но принцип идентичен: зашифрованное хранилище столь же безопасно, как и мастер-пароль, защищающий его. Совет Dashlane для затронутых пользователей заключается в том, чтобы проверить зарегистрированные устройства, удалить любые незнакомые, включить 2FA, если он еще не активен, и, что наиболее критично, использовать сильный, уникальный мастер-пароль, который длинный и трудный для угадывания.

      Раскрытие информации соответствует ответственным практикам коммуникации в области безопасности, при этом Dashlane быстро опубликовала свое уведомление и предоставила конкретные шаги по устранению последствий. Но инцидент поднимает более широкий вопрос для индустрии менеджеров паролей: если 2FA может быть взломано для регистрации новых устройств, какие дополнительные уровни аутентификации необходимы для защиты самого чувствительного продукта безопасности для потребителей, который используют большинство людей?