Dashlane, 암호화된 사용자 볼트 20개 도난 경고
원제: Can't make sense of Dashlane's vault theft notification? You're not alone.
왜 중요한가
주요 암호 관리업체의 보안 침해는 개인정보보호 및 사이버보안 업계 전반의 신뢰도에 영향을 미친다.
암호 관리업체 Dashlane이 5월 31일부터 시작된 무차별 대입 공격으로 20개의 암호화된 사용자 볼트가 도난당했다고 월요일 보안 권고를 발표했다. 공격자들은 2단계 인증을 우회해 기존 계정에 새 기기를 등록하려 했다.
Dashlane의 보안 권고에 따르면 공격자들은 5월 31일 일요일부터 특정 사용자 계정에 대해 무차별 대입 공격을 시작했다. 공격 목표는 2단계 인증 보호를 우회해 기존 사용자 계정에 새로운 기기를 등록하는 것이었다. 그러나 이번 보안 권고는 핵심 세부사항을 생략하고 있어 많은 사용자들이 혼란스러워하고 있다. 한 영국 사용자는 일요일 2단계 인증 요청 알림을 받고 Dashlane 지원팀에 문의했지만 명확한 답변을 받지 못했다고 밝혔다. 이 사용자는 "Mastodon 보안 커뮤니티에서 이 소식을 들었지 Dashlane에서 직접 알려주지 않았다"며 불만을 표했다. 일반적으로 2단계 인증은 45초마다 변경되는 6자리 일회용 비밀번호를 사용하지만, 이번 경우 코드가 3시간 동안 유효했다. 전문가들은 100만 가지 가능한 조합을 3시간 내에 시도하는 것이 기술적으로 가능하지만 일반적인 무차별 공격에서는 흔하지 않다고 지적했다. Dashlane은 "대량의 시도로 인해 보안 제어 시스템이 공격 대상 계정을 자동으로 잠갔다"고 밝혔지만 구체적인 공격 메커니즘에 대해서는 침묵하고 있다.