Менеджер паролей Dashlane сообщил о взломе: хакеры получили зашифрованные хранилища пользователей
NewsMakerБрутфорс-атака на Dashlane оказалась проще, чем звучит в пресс-релизах.
Даже один короткий код из шести цифр может стать целью масштабной атаки, если злоумышленники находят способ перебирать такие комбинации автоматически.
Dashlane сообщил о попытке взломать часть пользовательских учётных записей. Атака началась 31 мая 2026 года и была направлена на механизм, позволяющий добавлять новые устройства к уже существующим аккаунтам. Злоумышленники пытались подобрать одноразовые коды подтверждения, чтобы зарегистрировать свои устройства и получить копии зашифрованных хранилищ паролей.
По данным компании, защитные системы сработали автоматически и временно заблокировали учётные записи, по которым шло большое число попыток входа. Из-за этого многие пользователи на время потеряли доступ к сервису, но позже Dashlane восстановил заблокированные аккаунты.
Несмотря на блокировки, атакующим удалось подобрать действительные коды менее чем для 20 пользователей личных тарифов. После этого злоумышленники зарегистрировали новые устройства в этих учётных записях и скачали копии зашифрованных хранилищ . Dashlane отдельно уведомил всех затронутых пользователей. Компания подчёркивает, что если клиент не получил специальное письмо о риске для хранилища, его аккаунт не пострадал.
Содержимое хранилища нельзя открыть без мастер-пароля . Dashlane заявляет, что не хранит мастер-пароли и их производные на своих серверах, поскольку сервис построен по модели «нулевого знания». Для защиты хранилищ используются Argon2, AES-256-CBC и HMAC-SHA256, поэтому получить доступ к данным без мастер-пароля компания считает крайне маловероятным даже при длительных попытках.
Внутренние системы Dashlane, как показало расследование, не пострадали. Компания завершила проверку 4 июня 2026 года и не нашла признаков дополнительного ущерба для клиентов или инфраструктуры сервиса.
Атака затронула программные интерфейсы, отвечающие за регистрацию новых устройств. Обычно когда пользователь добавляет телефон или компьютер, Dashlane проверяет владельца учётной записи через одноразовый код, отправленный на электронную почту, либо через код из приложения для двухфакторной аутентификации . Пройдя проверку, устройство получает копию зашифрованного хранилища.
После инцидента Dashlane заблокировал вредоносный трафик, усилил защиту на сетевом уровне и внутри продукта, а также начал внедрять дополнительные проверки при регистрации новых устройств. Компания также советует пользователям проверить список подключённых устройств и удалить незнакомые, а тем, кто ещё не включил двухфакторную аутентификацию, сделать это.
Менять мастер-пароль Dashlane не требует. Исключение касается случаев, когда пользователь подозревает фишинг или считает, что его мастер-пароль был слабым и легко угадываемым.
Даже один короткий код из шести цифр может стать целью масштабной атаки, если злоумышленники находят способ перебирать такие комбинации автоматически.
Dashlane сообщил о попытке взломать часть пользовательских учётных записей. Атака началась 31 мая 2026 года и была направлена на механизм, позволяющий добавлять новые устройства к уже существующим аккаунтам. Злоумышленники пытались подобрать одноразовые коды подтверждения, чтобы зарегистрировать свои устройства и получить копии зашифрованных хранилищ паролей.
По данным компании, защитные системы сработали автоматически и временно заблокировали учётные записи, по которым шло большое число попыток входа. Из-за этого многие пользователи на время потеряли доступ к сервису, но позже Dashlane восстановил заблокированные аккаунты.
Несмотря на блокировки, атакующим удалось подобрать действительные коды менее чем для 20 пользователей личных тарифов. После этого злоумышленники зарегистрировали новые устройства в этих учётных записях и скачали копии зашифрованных хранилищ . Dashlane отдельно уведомил всех затронутых пользователей. Компания подчёркивает, что если клиент не получил специальное письмо о риске для хранилища, его аккаунт не пострадал.
Содержимое хранилища нельзя открыть без мастер-пароля . Dashlane заявляет, что не хранит мастер-пароли и их производные на своих серверах, поскольку сервис построен по модели «нулевого знания». Для защиты хранилищ используются Argon2, AES-256-CBC и HMAC-SHA256, поэтому получить доступ к данным без мастер-пароля компания считает крайне маловероятным даже при длительных попытках.
Внутренние системы Dashlane, как показало расследование, не пострадали. Компания завершила проверку 4 июня 2026 года и не нашла признаков дополнительного ущерба для клиентов или инфраструктуры сервиса.
Атака затронула программные интерфейсы, отвечающие за регистрацию новых устройств. Обычно когда пользователь добавляет телефон или компьютер, Dashlane проверяет владельца учётной записи через одноразовый код, отправленный на электронную почту, либо через код из приложения для двухфакторной аутентификации . Пройдя проверку, устройство получает копию зашифрованного хранилища.
После инцидента Dashlane заблокировал вредоносный трафик, усилил защиту на сетевом уровне и внутри продукта, а также начал внедрять дополнительные проверки при регистрации новых устройств. Компания также советует пользователям проверить список подключённых устройств и удалить незнакомые, а тем, кто ещё не включил двухфакторную аутентификацию, сделать это.
Менять мастер-пароль Dashlane не требует. Исключение касается случаев, когда пользователь подозревает фишинг или считает, что его мастер-пароль был слабым и легко угадываемым.