Ein unbekannter Angreifer startete am vergangenen Wochenende eine koordinierte Kampagne gegen Dashlane-Nutzer, um möglichst viele verschlüsselte Passworttresore zu erbeuten. Der Passwortmanager bestätigte, dass vor der Unterbindung des Angriffs weniger als 20 persönliche Tresore heruntergeladen wurden. Der Vorfall wirft erneut ein Schlaglicht auf die Herausforderungen bei der Absicherung von Anwendungsprogrammierschnittstellen (APIs) in der Sicherheitsbranche.
Der Ablauf des Angriffs: Automatisierung und Schwachstellenausnutzung
Der Angreifer nutzte eine Schwachstelle im Mechanismus zur Geräteanmeldung von Dashlane aus. Dieser Prozess ermöglicht es Nutzern, neue Geräte wie Smartphones oder Computer mit ihrem bestehenden Dashlane-Konto zu verknüpfen. Dabei wird standardmäßig ein sechsstelliger Einmalcode an die registrierte E-Mail-Adresse gesendet. Bei aktivierter Zwei-Faktor-Authentifizierung (2FA) erfolgt die Verifizierung stattdessen über einen Code aus einer Authenticator-App.
Der Angreifer missbrauchte die API-Endpunkte für die Geräteanmeldung, um automatisierte Anfragen in großem Umfang zu versenden. Laut dem am Donnerstag veröffentlichten Sicherheitshinweis von Dashlane handelte es sich um einen Brute-Force-Angriff. Die Angriffsmethode zielte darauf ab, gültige Token für bestehende Nutzerkonten zu generieren.
Automatisierte Schutzmechanismen und begrenzte Auswirkungen
Dashlanes automatisierte Sicherheitssysteme erkannten die ungewöhnlich hohen Anfragevolumina und reagierten wie vorgesehen: Sie sperrten die betroffenen Konten vorübergehend, um die Nutzer zu schützen. Trotz dieser Gegenmaßnahmen gelang es dem Angreifer, für weniger als 20 Nutzer der persönlichen Tarifstufe gültige Token zu errechnen. Diese Token ermöglichten die Anmeldung neuer Geräte auf den kompromittierten Konten und den Download der verschlüsselten Passworttresore.
Dashlane betonte, dass die Tresore trotz des Downloads weiterhin verschlüsselt blieben und ohne den Master-Passwortschlüssel des jeweiligen Nutzers unlesbar sind. Dennoch unterstreicht der Vorfall die Notwendigkeit robuster API-Sicherheitsprotokolle, insbesondere bei Passwortmanagern, die sensible Nutzerdaten schützen.
Lehren für die Cybersicherheitsbranche
Der Angriff zeigt, wie Angreifer legitime Funktionen von Diensten wie Dashlane gezielt ausnutzen können, um Sicherheitslücken zu finden. Die Verwendung von Brute-Force-Methoden gegen API-Endpunkte ist zwar kein neues Phänomen, doch die Kombination mit der Ausnutzung von Nutzerinteraktionen – wie der Geräteanmeldung – macht solche Angriffe besonders tückisch.
Experten raten Passwortmanager-Nutzern, folgende Maßnahmen zu ergreifen:
- Zwei-Faktor-Authentifizierung (2FA) aktivieren, um zusätzliche Sicherheitsebenen zu schaffen.
- Ungewöhnliche E-Mail-Benachrichtigungen über Geräteanmeldungen umgehend prüfen.
- Regelmäßig die Sicherheitsprotokolle des genutzten Passwortmanagers überprüfen und Updates zeitnah installieren.
Die Dashlane-Sicherheitsmeldung unterstreicht, wie wichtig eine kontinuierliche Überwachung und Anpassung von Sicherheitsmaßnahmen ist – sowohl für Anbieter als auch für Nutzer von Passwortmanagern. Angesichts der zunehmenden Digitalisierung und der wachsenden Komplexität von Angriffsmustern bleibt die Cybersicherheit eine dynamische und herausfordernde Disziplin.
KI-Zusammenfassung
Dashlane kullanıcılarını hedef alan saldırıda 20'den az parola kasası indirildi. Saldırının nasıl gerçekleştiğini ve verilerinizin nasıl korunduğunu öğrenin.
