Dashlane, 공격자가 암호화된 비밀번호 저장소 다운로드한 방법 공개
원제: Dashlane explains how attackers managed to download encrypted password vaults
왜 중요한가
대량 계정 동시 공격으로 일회용 코드 보안을 우회하는 새로운 공격 기법이 패스워드 매니저 보안에 시사점을 제공한다.
패스워드 매니저 Dashlane이 공격자들이 대량의 사용자를 대상으로 한 무차별 공격으로 20개 미만의 개인 사용자 암호화 저장소를 다운로드했다고 목요일 발표했다. 공격자들은 기기 등록 API를 악용해 일회용 토큰을 무차별 대입으로 생성했다.
Dashlane은 일요일부터 시작된 공격에서 알려지지 않은 위협 행위자가 기기 등록 메커니즘을 악용했다고 설명했다. 공격자들은 기기 등록을 위한 API 엔드포인트를 대상으로 무차별 공격을 통해 대량의 자동화된 요청을 전송했다. Dashlane의 자동 보안 시스템이 의도한 대로 작동하여 대상 계정을 자동으로 잠갔지만, 공격이 완전히 차단되기 전에 공격자들은 20명 미만의 개인 플랜 고객에 대해 유효한 토큰을 생성할 수 있었다. 일반적으로 새 기기를 등록할 때는 사용자의 등록된 이메일 주소로 일회용 6자리 토큰이 전송된다. 단일 계정에 대한 무차별 공격은 100만 가지 가능한 코드 중에서 3시간 내에 맞춰야 하므로 비효율적이다. 그러나 공격자들은 대량의 계정을 동시에 공격함으로써 성공 확률을 높였다. 1,000개 계정을 공격할 경우 확률이 1/1,000으로 증가한다고 설명했다.