Dashlane explique comment des pirates ont téléchargé des coffres-forts de mots de passe chiffrés
Original : Dashlane explains how attackers managed to download encrypted password vaults
Pourquoi c'est important
Montre comment les attaques coordonnées peuvent contourner les mesures de sécurité
Des attaquants ont exploité le système d'ajout d'appareils de Dashlane via une attaque par force brute sur les codes de validation. Moins de 20 coffres-forts personnels ont été téléchargés avant l'arrêt de l'opération par l'entreprise.
Dashlane a révélé qu'une campagne coordonnée a visé de nombreux utilisateurs pour récupérer leurs coffres-forts de mots de passe chiffrés. Les attaquants ont abusé du mécanisme d'ajout de nouveaux appareils en envoyant des requêtes automatisées aux API d'enregistrement. Plutôt que de cibler un seul compte, ils ont attaqué simultanément de nombreux comptes pour augmenter leurs chances de deviner les codes à six chiffres. En théorie, attaquer 1000 comptes simultanément augmentait les probabilités de succès à 1 sur 1000. Les systèmes de sécurité automatisés de Dashlane ont déclenché un verrouillage des comptes ciblés. Bien que les coffres-forts aient été téléchargés, leur contenu reste illisible sans le mot de passe maître servant de clé de déchiffrement.