Dashlane पर हमलावरों ने एन्क्रिप्टेड वॉल्ट चुराए
मूल शीर्षक: Dashlane explains how attackers managed to download encrypted password vaults
यह क्यों महत्वपूर्ण है
पासवर्ड मैनेजर सुरक्षा में नई चुनौतियों को दर्शाता है
पासवर्ड मैनेजर Dashlane ने बताया कि हमलावरों ने बड़े पैमाने पर यूजर अकाउंट्स को निशाना बनाकर एन्क्रिप्टेड पासवर्ड वॉल्ट चुराने का प्रयास किया। 20 से कम व्यक्तिगत वॉल्ट डाउनलोड हुए।
Dashlane ने गुरुवार को अपडेट में बताया कि रविवार को शुरू हुए इस हमले में अज्ञात हमलावरों ने डिवाइस रजिस्ट्रेशन सिस्टम का दुरुपयोग किया। हमलावरों ने API endpoints पर brute force attack चलाकर बड़ी मात्रा में automated requests भेजे। यह हमला एक समन्वित अभियान था जो बड़ी संख्या में उपयोगकर्ताओं को निशाना बनाकर किया गया। सामान्यतः जब कोई यूजर नया डिवाइस जोड़ता है तो Dashlane उनके ईमेल पर 6-अंकीय कोड भेजता है। एक अकेले अकाउंट के लिए इस कोड को crack करना लगभग असंभव है क्योंकि 10 लाख संभावित combinations हैं और केवल 3 घंटे की validity है। लेकिन हमलावरों ने हजारों अकाउंट्स को एक साथ target करके अपनी सफलता की संभावना बढ़ाई। कंपनी की सुरक्षा प्रणालियों ने intended तरीके से काम किया और targeted accounts को automatically lock कर दिया।