パスワードマネージャーには多くの問題があり、Dashlanが月曜日にリリースしたセキュリティ勧告では、攻撃者が20個の暗号化されたユーザー保管庫を入手できたと警告した。
同社は「2026年5月31日日曜日以降、外部の者が特定のDashlanユーザーアカウントに対してブルートフォース攻撃を開始した」と発表した。 「攻撃の標的は、攻撃者が既存のユーザー アカウントで新しいデバイスを登録できるようにするブルート フォース 2 要素認証 (2FA) 保護でした。」
こんにちは、ダッシュラン、誰か家にいますか?
このような 2FA リクエストを受け取った Dashlane ユーザーは、日曜日に届いたメッセージのスクリーンショットを提供しました。
英国のユーザーは懸念し、サポート ボット経由で Dashlane に連絡しました。結局、ユーザーにはメッセージが送信された理由は知らされませんでした。
“それから [I] このニュースは Dashlane 自体からではなく、Astodon infosec から発見されました」とユーザーは私に言いました。「現在、何が起こったのか調べ中です。なぜなら、最初のパスワードを持っていない場合、どうやって 2FA リクエストをアクティブ化できるのでしょうか?有料顧客として、このことについてはマストドンの情報セキュリティ担当者ではなく、ダッシュラインから知るべきだったと思います。」
数十のソーシャルメディアディスカッションでは、やはりこの攻撃の基本的な仕組みを理解していないユーザーからの同様の反応が溢れています。通常、2FA 保護は、認証アプリによって生成されるか、テキストまたは電子メールで送信されるワンタイム パスワードの形式をとります。これらは通常 6 桁の長さで、約 45 秒ごとに変更されますが、上記のメッセージが示すように、コードは 3 時間有効です。
残忍な強制は、正しい組み合わせに到達するまで、考えられるすべての組み合わせを迅速に提供する試行錯誤の方法です。これらの仮定の下では、100 万通りのコードが考えられます。ハッキングを成功させるには、3 時間以内に統計的に有意な割合のユーザーを入力する必要があります。
これほど短期間にこれほどの量の推測を Dashlane サーバーに浴びせるのに必要なリソースは可能ですが、通常のブルート フォース攻撃では一般的ではありません。 Dashlaneは、ユーザーが送信できる送信数にレート制限を設けているとは具体的に述べていないが、それはおそらく「ユーザーアカウントに対する試行が大量に行われたため、Dashlaneのセキュリティ制御が攻撃のターゲットとなったアカウントを自動的にロックアウトした」という勧告の文言に基づいていると思われる。レート上限がなかったと仮定しても、1 時間ほどで 150,000 件以上の送信を受信したときに Dashlane サーバーが少なくとも一時的に停止しないとは考えにくいです。
