Dashlane beschrijft aanval waarbij wachtwoordkluis klanten werd gestolen

In dit artikel:

Dashlane heeft meer details vrijgegeven over een recente bruteforce-aanval op de API-endpoints die gebruikt worden om nieuwe apparaten aan accounts te koppelen. Bij het aanmelden van een extra apparaat stuurt Dashlane normaal een zescijferig token naar het e‑mailadres van de gebruiker; wie 2FA heeft ingeschakeld gebruikt daarnaast een code uit een authenticatie-app. De aanvaller stuurde grote aantallen geautomatiseerde requests naar die registratie-endpoints en wist voor minder dan twintig accounts geldige tokens te vinden. Daardoor kon hij een nieuw apparaat toevoegen en een kopie van de online wachtwoordkluis downloaden. Dashlane benadrukt dat die kluizen versleuteld zijn en dat het master‑wachtwoord nodig is om ze te ontgrendelen. Het bedrijf gaat extra verificatiestappen invoeren voor het toevoegen van apparaten. Gebruikers wordt aanbevolen 2FA te gebruiken en hun master‑wachtwoord te beoordelen of te wijzigen indien zij vermoeden dat hun account is getroffen.