أعلنت شركة Dashlane الأمريكية عن تعرّضها لهجوم سيبراني محدود تمكّن خلاله مهاجمون من تنزيل عدد صغير من خزائن كلمات المرور المشفّرة. وأكدت الشركة أن عدد الخزائن التي تم الوصول إليها كان أقل من 20 خزنة فقط، وأن جميعها بقيت محمية بالكامل بفضل التشفير القوي المستخدم.
كيف وقع الهجوم؟
استغل المهاجمون آلية إضافة جهاز جديد عبر إرسال عدد كبير من طلبات التحقق إلى حسابات مختلفة في وقت واحد، في محاولة لتخمين رمز التحقق المكوّن من 6 أرقام. ورغم نجاحهم في تسجيل أجهزة جديدة لعدد محدود جدًا من الحسابات، أوقفت الأنظمة الأمنية العملية بسرعة.
هل تم الوصول إلى كلمات المرور؟
لا. الخزائن التي تم تنزيلها مشفّرة بالكامل، ولا يمكن فكّها دون كلمة المرور الرئيسية. تستخدم Dashlane خوارزمية Argon2 التي تجعل عملية كسر كلمة المرور صعبة للغاية حتى باستخدام أجهزة قوية.
مقارنة مع اختراق LastPass
توضح Dashlane أن تصميمها الأمني لا يترك أي بيانات غير مشفّرة داخل الخزنة، على عكس LastPass الذي احتوى على حقول مكشوفة في حادثة 2022. كما يتم تحديث خوارزميات التشفير تلقائيًا دون تدخل المستخدم.
ماذا يجب على المستخدمين فعله؟
أكدت الشركة أنها تواصلت مع جميع المستخدمين المتأثرين، وأن من لم يتلقَّ إشعارًا رسميًا غير معرّض للخطر. ومع ذلك، يُنصح بتغيير كلمة المرور الرئيسية إذا كانت ضعيفة أو قديمة.
هجوم محدود يستهدف Dashlane… أقل من 20 خزنة كلمات مرور تم تنزيلها لكن بقيت مشفّرة بالكامل.
