После недавней атаки на пользователей менеджера паролей Dashlane выяснилось, что злоумышленникам удалось похитить зашифрованные хранилища как минимум 20 клиентов. При этом представители компании по-прежнему не объясняют, каким именно образом атакующие смогли обойти защиту аккаунтов, и происходящее вызывает у сообщества все больше вопросов.

Напомним, что в конце прошлой недели представители Dashlane сообщили о брутфорс-атаке на учетные записи некоторых пользователей. Тогда в компании заявляли, что из-за атак сработали встроенные механизмы защиты, которые автоматически приостановили работу затронутых аккаунтов.

Как стало известно теперь, часть попыток атакующих оказалась успешной. В новом заявлении представители Dashlane подтвердили, что атакующие получили доступ примерно к 20 учетным записям и смогли скачать копии зашифрованных хранилищ с паролями и другими конфиденциальными данными.

При этом в компании подчеркивают, что собственная инфраструктура Dashlane не пострадала. Согласно официальной версии, целью злоумышленников были конкретные пользовательские аккаунты. После обхода механизма двухфакторной аутентификации атакующие регистрировали свои устройства в учетных записях жертв и получили доступ к содержимому хранилищ в зашифрованном виде.

Однако объяснения Dashlane вызвали недоумение у многих пользователей и ИБ-специалистов. В частности, в компании утверждают, что злоумышленники перебирали одноразовые коды двухфакторной аутентификации, последовательно проверяя все возможные цифровые комбинации до истечения срока их действия. Однако если речь идет о стандартных шестизначных OTP-кодах, злоумышленникам пришлось бы перебрать до миллиона комбинаций за очень короткий промежуток времени.

Кроме того, подобная атака обычно требует отсутствия ограничений на число попыток ввода, а также предполагает, что атакующий уже преодолел первый фактор аутентификации, то есть знает пароль пользователя.

Представители Dashlane не раскрывают, каким образом злоумышленники получили доступ к первому фактору аутентификации, а затем сумели инициировать запросы на подтверждение входа.

Некоторые полагают, что компания могла использовать термин «двухфакторная аутентификация» не совсем корректно. Например, речь могла идти о push-уведомлениях для подтверждения входа или регистрации нового устройства. В таком случае атака больше напоминает схему 2FA fatigue — злоумышленник многократно отправляет жертве запросы на подтверждение, пока пользователь не нажмет на кнопку подтверждения по ошибке или из-за усталости от постоянных уведомлений.

Также не исключено, что атака была связана с функцией регистрации новых устройств. В этом случае злоумышленники могли отправлять запросы на подключение собственного девайса к чужому аккаунту, рассчитывая, что пользователь случайно одобрит эту операцию.

В Dashlane заявляют, что уже уведомили владельцев всех затронутых аккаунтов и никаких рисков  для остальных клиентов нет. Также представители сервиса подчеркнули, что содержимое похищенных хранилищ было зашифрованным и его нельзя расшифровать без мастер-пароля, который хранится только у пользователя.

Пользователи отмечают, что инцидент все больше напоминает взлом LastPass, произошедший в 2022 году. Тогда злоумышленники тоже похитили резервные копии парольных хранилищ. Хотя данные были зашифрованы, часть мастер-паролей впоследствии удалось подобрать, что привело к компрометации отдельных учетных записей и, по сообщениям пострадавших, хищению криптовалютных активов.