Dashlaneの暗号化保管庫20件盗難、詳細不明で利用者困惑
原題: Can't make sense of Dashlane's vault theft notification? You're not alone.
なぜ重要か
パスワード管理サービスの重大セキュリティ侵害で透明性不足が露呈、サイバーセキュリティ業界の信頼性向上が急務
パスワード管理サービスDashlaneは6月3日、外部攻撃者が暗号化された利用者保管庫20件を窃取したと発表した。攻撃者は5月31日から既存アカウントに新デバイス登録するため2要素認証をブルートフォース攻撃したが、同社は攻撃の詳細について沈黙を保っており、利用者が混乱している。
Dashlaneは月曜日にセキュリティ勧告を公開し、5月31日日曜日から外部攻撃者がブルートフォース攻撃を仕掛け、2要素認証保護を突破して既存利用者アカウントに新デバイス登録を試みたと発表した。この攻撃により暗号化された利用者保管庫20件が窃取されたという。英国の利用者は日曜日に2要素認証リクエストの通知を受信し、サポートボットに問い合わせたが詳細説明は得られなかった。この利用者は「MastodonのInfoSecコミュニティからこのニュースを知った。Dashlane自身からではない」と述べ、パスワードなしで2要素認証要求をどうやって発生させるのか疑問視している。通常2要素認証は認証アプリや SMS、メールで生成される6桁のワンタイムパスワードで、45秒ごとに変更されるが、通知によると今回は3時間有効だった。ブルートフォース攻撃では100万通りの可能な組み合わせを3時間以内に試行する必要があり、Dashlaneサーバーへの大量送信には相当なリソースが必要となる。Dashlaneは送信回数制限について明示していないが、「大量試行によりセキュリティ制御が標的アカウントを自動ロックした」との記述から制限があった可能性がある。