Passwortmanager: Hacker erbeuten Passwort-Tresore von Dashlane-Nutzern
Durch umfangreiche Brute-Force-Attacken sind Angreifer offenbar an verschlüsselte Passwort-Tresore einiger Dashlane-Nutzer gelangt. Das bestätigt der Anbieter in einer Supportmeldung(öffnet im neuen Fenster). Zuvor hatten Anwender im Netz beklagt(öffnet im neuen Fenster), E-Mails bezüglich verdächtiger Anmeldeaktivitäten erhalten zu haben. Dashlane leitete daraufhin Untersuchungen ein und bestätigte die Brute-Force-Angriffe später in einer Statusmeldung(öffnet im neuen Fenster).
Die Angreifer hatten es laut Supportmeldung auf bestimmte Dashlane-Benutzer abgesehen. Ziel des Angriffs sei es gewesen, die Zwei-Faktor-Authentifizierung zu überwinden und von den Angreifern kontrollierte Geräte mit den anvisierten Nutzerkonten zu verbinden.
Durch die hohe Anzahl an Zugriffsversuchen sollen die Sicherheitssysteme von Dashlane automatisch die Konten betroffener Nutzer gesperrt haben. Diese Konten wurden aber wohl schon wieder freigegeben, so dass Anwender sich wieder wie gewohnt anmelden und auf ihre Passwörter zugreifen können. Zudem will Dashlane den Traffic der Angreifer blockiert haben.
Passwort-Tresore abgegriffen
Für einen kleinen Nutzerkreis hat der Angriff allerdings noch weitere Folgen. Bei diesen sollen die Angreifer an verschlüsselte Passwort-Tresore gelangt sein. Dashlane spricht bezüglich der Betroffenheit von "weniger als 20 Benutzern mit einem persönlichen Tarif". Betroffene wurden wohl direkt informiert. Anwender, die keine entsprechende Mitteilung erhalten haben, sind laut Dashlane nicht betroffen.
Da die Tresore verschlüsselt sind, können die Angreifer ohne das nötige Master-Passwort nicht auf deren Inhalte zugreifen. Sofern also ein sicheres Master-Passwort gewählt und dieses sicher aufbewahrt wurde, sind keine Zugriffe auf die Inhalte der Tresore zu erwarten.
Betroffene, die sich diesbezüglich unsicher fühlen, sollten aber dennoch in Erwägung ziehen, bei Dashlane gespeicherte Anmeldedaten als kompromittiert zu betrachten und für die bei dem Passwortmanager eingetragenen Konten neue Passwörter zu vergeben. Auch bei Lastpass sind Angreifer schon mal an verschlüsselte Tresore gelangt. Der Vorfall wurde trotz der Verschlüsselung später mit zahlreichen Krypto-Diebstählen in Verbindung gebracht.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.