密码管理器Dashlane承认遭黑客攻击,部分用户密码库数据被盗
编者按:密码管理器本应是数字时代的“保险柜”,但Dashlane最近的遭遇却让人心惊——黑客竟在周末对其实施攻击,成功窃取了至少十几名用户的加密密码库。事件背后,是黑客暴力破解了两步认证机制,尽管公司声称自身系统未被攻破,但用户数据的安全已悬于一线。更令人担忧的是,一旦主密码被猜中,这些加密仓库将形同虚设。本文既是一次安全警报,也敲响警钟:在黑客技术日益猖獗的今天,即便是专业工具也难保万无一失。让我们透过这篇译文,看清网络世界的暗流涌动,思考如何真正守住自己的数字资产。
密码管理器制造商Dashlane表示,在周末的一次网络攻击中,黑客至少获取了十几个用于存储客户密码的加密密码库。
该公司在网站上声明,黑客暴力破解了公司的双重身份验证系统,由此获得了约20个客户账户的访问权限。通过击垮这一两步认证机制,黑客得以下载某些客户加密密码库的副本,这些密码库中存储着密码及其他敏感凭据。
Dashlane在其事件页面指出,没有证据表明其自身系统受到破坏,但尚未说明黑客是如何攻破其两步认证保护、从而访问客户账户的。两步认证本是一项安全功能,通常需要向账户持有人的手机发送额外验证码,以防止仅凭被盗的用户名和密码访问账户。
“此次攻击的目标是暴力破解双重身份验证(2FA)防护,以便攻击者在现有用户账户上注册新设备,”Dashlane表示。该公司称,攻击者可以使用自动化软件“快速向系统提交所有可能的数字组合,希望在短时效的[两步认证]安全码过期前猜出准确序列。”
公司表示已“采取措施降低未来事件的风险”,但未具体说明这些措施是什么。
Dashlane称已通知了那约20名加密密码库被盗的客户。目前尚不清楚这些特定客户是否因其身份或从事的职业等原因成为攻击目标。
Dashlane的发言人未回应置评请求。公司尚未透露是否知道谁锁定了其客户,或者黑客是否曾联系Dashlane提出勒索等要求。
公司网站显示,被盗的密码库已被加密,没有客户的主密码就无法读取,而主密码仅有客户本人知晓,且不会以明文形式上传到Dashlane。但Dashlane表示,使用容易猜到的主密码的客户,其密码被破解、密码库被解密的的风险更高。
影响密码管理器公司的数据泄露事件虽不常见,但可能造成持久影响。
2022年,LastPass确认在一次网络攻击中客户密码库备份被窃。尽管这些密码库受到只有客户才知道的密码保护,但早期客户的密码要求远低于后来的标准,导致黑客能够暴力破解并轻松猜到一些客户密码库的密码。已有数起报告显示,黑客利用存储在失窃LastPass密码库中的私钥,窃取了客户大量加密货币,这些私钥因主密码在泄露后被破解而遭泄露。
一年前,澳大利亚软件公司Click Studios警告所有使用其旗舰密码管理器Passwordstate的客户“重置所有凭据”,此前黑客破坏了其软件更新机制,在客户系统中植入了恶意软件。
本文由吉伊网原创发布,未经许可,不得转载!
本文链接:http://www.jkiyi.com/kj/62779.html
