密码管理软件 Dashlane 周二证实,黑客成功入侵了约 20 个客户账户,并下载了这些账户中的加密密码库。此次事件发生在上周末,攻击者通过暴力破解手段攻破了该公司的双重身份验证(2FA)系统。
据 TechCrunch 报道,此次入侵使未经授权的第三方能够在现有用户账户下注册新设备。尽管 Dashlane 表示目前没有证据表明其内部系统遭到破坏,但尚未披露绕过 2FA 防护的具体技术手段。
Dashlane 在一份安全公告中解释了入侵机制,指出攻击者利用自动化软件对验证过程进行了“轰炸”。通过快速循环尝试各种数字组合,黑客在临时安全令牌过期前成功猜出了正确代码。
该公司在其事件响应页面上表示:“此次攻击旨在通过暴力破解双重身份验证(2FA)防护,从而让攻击者能够在现有用户账户上注册新设备。”
影响与缓解措施
Dashlane 已确认已通知约 20 名受影响的用户,这些用户的密码库已被访问。目前尚不清楚这些特定账户是因为其存储内容还是用户身份而成为攻击目标。
Dashlane 表示已采取措施以降低未来发生类似攻击的风险,但拒绝透露有关这些安全升级的具体细节。该公司未回应针对此次事件的进一步置评请求。
双重身份验证旨在提供第二层安全保障,通常需要用户在移动设备上接收额外的验证码,以防止未经授权的访问。此次事件凸显了此类系统在面对高速、自动化暴力破解攻击时的脆弱性。
