密码管理服务提供商Dashlane近日披露,一次网络攻击导致黑客获取部分客户的加密密码库副本。
Dashlane在其官网事件通报页面称,黑客在刚刚过去的周末通过“暴力破解”方式绕过公司的双因素认证(2FA)保护,成功访问约20个客户账户,并下载了其中部分账户的加密密码库。这些密码库存储了用户的密码及其他敏感凭证。
Dashlane表示,目前没有证据显示公司的核心系统遭到入侵,但尚未说明攻击者具体如何绕过双因素认证机制。双因素认证通常要求在用户名和密码之外,再输入发送至账户持有人手机或其他设备的一次性验证码,以降低仅凭被盗账号密码即能登录的风险。
Dashlane在通报中称,“此次攻击的目标是暴力破解双因素认证(2FA)保护,以允许攻击者在现有用户账户上注册新设备”。公司解释称,攻击者利用自动化软件,在双因素验证码短暂有效期内“快速提交所有可能的数字组合”,试图在验证码过期前猜中正确序列。
Dashlane表示,已“采取措施以降低未来事件的风险”,但未披露具体技术或流程调整细节。公司称,已通知约20名其加密密码库被下载的受影响客户。目前尚不清楚这些客户是否因其身份或职业而被有针对性地锁定。

Dashlane发言人未就相关问题回应置评请求。该公司尚未说明是否掌握攻击者身份信息,也未透露黑客是否曾向公司提出勒索等要求。
根据Dashlane官网信息,被下载的密码库为加密状态,需客户的主密码方可解密。Dashlane称,主密码仅为客户本人知晓,不以明文形式上传或存储在Dashlane系统中。不过,公司同时指出,如果客户设置的主密码过于容易被猜测,则更可能被攻击者通过暴力破解方式解密密码库内容。
业内类似事件虽不常见,但一旦涉及密码管理器服务,影响可能较为持久。
2022年,另一家密码管理服务提供商LastPass确认,其客户密码库备份在一次网络攻击中被窃取。尽管这些密码库同样受客户独有主密码保护,但由于早期客户的密码复杂度要求低于后期标准,部分密码库被黑客通过暴力破解方式成功解密。多份公开报道显示,攻击者在破解泄露密码库中的主密码后,盗取了部分客户的加密资产。
更早前,澳大利亚软件公司Click Studios曾在一次安全事件后,要求其旗舰密码管理器Passwordstate的所有客户“重置所有凭证”。该公司当时表示,黑客入侵了其软件更新机制,并通过更新渠道向客户系统植入恶意软件。
