Dashlane Jelaskan Cara Penyerang Unduh Vault Password Terenkripsi
Judul asli: Dashlane explains how attackers managed to download encrypted password vaults
Mengapa Ini Penting
Serangan ini menunjukkan kerentanan sistem otentikasi password manager terpopuler
Dashlane mengungkap penyerang berhasil mengunduh kurang dari 20 vault password terenkripsi pengguna melalui serangan brute force terkoordinasi pada API pendaftaran perangkat dengan menargetkan ribuan akun secara bersamaan.
Penyerang tidak dikenal melancarkan kampanye hacking terkoordinasi dengan menyalahgunakan mekanisme penambahan perangkat baru Dashlane. Mereka menggunakan brute force pada API endpoint pendaftaran perangkat dengan mengirim permintaan otomatis dalam volume besar ke alamat email pengguna terdaftar. Untuk meningkatkan peluang, penyerang menargetkan ribuan akun secara bersamaan dan memasukkan kode satu kali enam digit ke setiap akun. Dengan menyerang 1.000 akun, peluang keberhasilan meningkat dari 1 banding 1 juta menjadi 1 banding 1.000. Sistem keamanan otomatis Dashlane bekerja sesuai rancangan dengan memicu lockout akun yang ditargetkan. Sebelum serangan sepenuhnya dimitigasi, penyerang berhasil membobol kurang dari 20 akun pelanggan personal dan mengunduh salinan vault terenkripsi mereka.