Η Dashlane, μια από τις κορυφαίες εφαρμογές διαχείρισης κωδικών πρόσβασης, αποκάλυψε ότι ένας χάκερ εκμεταλλεύτηκε ένα κενό ασφαλείας στο σύστημα ηλεκτρονικής σύνδεσης της υπηρεσίας για να υποκλέψει κρυπτογραφημένα vaults κωδικών πρόσβασης δεκάδων χρηστών. Η υποκλοπή έλαβε χώρα την Κυριακή, και η Dashlane την ανέφερε για πρώτη φορά την επόμενη μέρα. Ωστόσο, αυτή η αρχική αναφορά μας άφησε με απορίες, καθώς δεν ήταν απολύτως σαφές πώς ο χάκερ κατάφερε να κατεβάσει τα κρυπτογραφημένα αρχεία κωδικών πρόσβασης των επηρεαζόμενων χρηστών. (Credit: Dashlane) Στην ενημέρωση, η Dashlane εξήγησε: «Ο χρήστης εισάγει αυτόν τον κωδικό στην εφαρμογή Dashlane, οπότε η Dashlane καταχωρεί τη συσκευή και κατεβάζει ένα αντίγραφο του κρυπτογραφημένου vault στη συσκευή.» Αυτό ακούγεται σαν πιθανό ελάττωμα, επειδή σημαίνει επίσης ότι ένας χάκερ θα μπορούσε θεωρητικά να μαντέψει και να εισαγάγει τον σωστό εξαψήφιο κωδικό για να κατεβάσει το κρυπτογραφημένο vault ενός χρήστη. Ο χάκερ θα χρειαζόταν μόνο να γνωρίζει τη διεύθυνση ηλεκτρονικού ταχυδρομείου του θύματος για τον λογαριασμό του και αρκετές προσπάθειες για να μαντέψει τον σωστό κωδικό. Έξι ψηφία σημαίνουν ότι θα μπορούσαν να δοκιμαστούν 1 εκατομμύριο συνδυασμοί, κάτι που σχεδόν σίγουρα θα είχε ως αποτέλεσμα ο χάκερ να βομβαρδίσει τα συστήματα IT της Dashlane, όπως επισημαίνει το Ars Technica. Μετά τη δημοσίευση του άρθρου μας, η Dashlane δήλωσε στο PCMag: «Θέλουμε να διευκρινίσουμε ότι πρόκειται για μια αδυναμία που ενισχύουμε με επιπλέον επίπεδα προστασίας, αλλά δεν είναι ευπάθεια». Στην ενημέρωση, η εταιρεία σημείωσε επίσης: «Χωρίς τον Master Password, ένας χρήστης δεν μπορεί να έχει πρόσβαση στα στοιχεία μέσα στο vault. Η κρυπτογράφηση του vault (Argon2 + AES-256-CBC + HMAC-SHA256) που χρησιμοποιεί η Dashlane διασφαλίζει ότι οποιαδήποτε απόπειρα πρόσβασης στο vault είναι στατιστικά απίθανο να επιτύχει, ακόμη και σε μακροπρόθεσμο ορίζοντα.» Η εταιρεία επίσης δεν αποθηκεύει «Master Passwords ή παράγωγά τους» στους διακομιστές της, κάτι που ίσως εξηγεί γιατί βασιζόταν σε εξαψήφιους κωδικούς για την επαλήθευση. Για την αντιμετώπιση της απειλής, η Dashlane σημειώνει: «Προστίθενται επίσης επιπλέον επίπεδα επαλήθευσης στη ροή εγγραφής νέων συσκευών. Αυτή η ανακοίνωση θα ενημερωθεί καθώς αυτές οι αλλαγές θα τεθούν σε εφαρμογή.» Η εταιρεία αναφέρει επίσης ότι «εφάρμοσε πρόσθετα μέτρα προστασίας σε επίπεδο δικτύου και εντός του προϊόντος για την περαιτέρω ανίχνευση και φιλτράρισμα κακόβουλης κυκλοφορίας», υποδηλώνοντας ότι έχουν εφαρμοστεί αυστηρότεροι περιορισμοί ρυθμού για την αποτροπή μελλοντικών επιθέσεων brute-force. Στην ανάρτηση, η Dashlane έγραψε: «Ο δράστης της απειλής στόχευσε τα τελικά σημεία API για την εγγραφή συσκευών και χρησιμοποίησε μια επίθεση brute force για να στείλει μεγάλο όγκο αυτοματοποιημένων αιτημάτων σε αυτά τα τελικά σημεία. Σε απάντηση, τα αυτοματοποιημένα συστήματα ασφαλείας της Dashlane λειτούργησαν όπως προβλεπόταν, ενεργοποιώντας αυτόματο κλείδωμα των λογαριασμών που στοχεύθηκαν για την προστασία αυτών των χρηστών.» Ωστόσο, ο χάκερ κατάφερε να «χρησιμοποιήσει brute force και να δημιουργήσει έγκυρα tokens για λιγότερους από 20 πελάτες», αναφέρει η ενημέρωση. Σημείωση: Το άρθρο αυτό ενημερώθηκε με σχόλιο της Dashlane.
