密码管理器 Dashlane 于 6 月 2 日披露,攻击者在上周末的一次网络攻击中入侵了约 20 个客户账户,并下载了这些账户加密的密码库副本。该公司称,攻击者利用自动化软件暴力破解了其双因素认证系统,该软件在 2FA 验证码过期前快速提交所有可能的数字组合,从而在现有账户上注册新设备并下载库副本。Dashlane 表示没有证据表明自身系统被攻破,但未解释其 2FA 限速机制为何未能阻止此次攻击。该公司称已«采取措施降低未来事件的风险»,但未具体说明措施内容,并已通知约 20 名受影响客户。Dashlane 未回应 TechCrunch 的置评请求;也未披露受害者是否被针对性锁定、攻击者身份以及是否遭到勒索要求。
被盗的密码库经过加密,若没有每个客户的主密码(Dashlane 称该密码绝不会以明文形式上传至其服务器)则无法读取。然而,该公司警告称,使用弱密码或易猜测密码的客户,其库内容被解密的风险更高。对于密码管理器行业而言,此类漏洞虽罕见但后果严重:2022 年,LastPass 确认加密的密码库备份被盗,此后几年中,研究人员和安全记者记录了个案——攻击者破解了部分早期 LastPass 账户的主密码(这些账户使用较旧、较弱的加密标准),导致受害者存储的私钥被盗,进而遭受重大加密货币损失。