Nội dung bài viết
Tư vấn bảo mật bỏ qua các chi tiết quan trọng. Dashlane duy trì sự im lặng hoàn toàn.
Có rất nhiều điều không được bổ sung trong trình quản lý mật khẩu tư vấn bảo mật Dashlane được xuất bản hôm thứ Hai, cảnh báo rằng những kẻ tấn công đã lấy được 20 kho tiền được mã hóa của người dùng.
“Bắt đầu từ Chủ nhật, ngày 31 tháng 5 năm 2026, một bên bên ngoài đã tiến hành một cuộc tấn công vũ phu nhằm vào một số tài khoản người dùng Dashlane nhất định,” công ty cho biết.
“Mục tiêu của cuộc tấn công là nhằm bảo vệ xác thực hai yếu tố (2FA) một cách bạo lực để cho phép kẻ tấn công đăng ký thiết bị mới trên tài khoản người dùng hiện có.” Một người dùng Dashlane đã nhận được yêu cầu 2FA như vậy đã cung cấp ảnh chụp màn hình thông báo này, được gửi đến vào Chủ nhật.
Người dùng ở Vương quốc Anh lo ngại và liên hệ với Dashlane thông qua bot hỗ trợ. Cuối cùng, người dùng không có thông tin về lý do thông báo được gửi.
“Sau đó [tôi] phát hiện ra tin tức này từ Mastodon infosec chứ không phải từ Dashlane,” người dùng nói với tôi. "Hiện tôi đang cố gắng tìm hiểu chuyện gì đã xảy ra!
Bởi vì làm thế nào bạn có thể kích hoạt yêu cầu 2fa nếu bạn chưa có mật khẩu ngay từ đầu?
Với tư cách là một khách hàng trả tiền, tôi nghĩ lẽ ra tôi nên biết về điều này từ Dashlane chứ không phải những người của Mastodon infosec." Điểm số của các cuộc thảo luận trên mạng xã hội là f tràn ngập những nhận xét tương tự từ những người dùng cũng không hiểu cơ chế cơ bản của cuộc tấn công này.
Thông thường, các biện pháp bảo vệ 2FA có dạng mật khẩu một lần được tạo bởi ứng dụng xác thực hoặc được gửi bằng văn bản hoặc email. Chúng thường dài sáu chữ số và thay đổi cứ sau 45 giây hoặc lâu hơn, mặc dù như thông báo ở trên cho biết, mã vẫn có hiệu lực trong ba giờ.
Brute-forced là một phương pháp thử và sai, nhanh chóng đưa ra mọi sự kết hợp có thể cho đến khi tìm được kết hợp phù hợp. Theo những giả định này, sẽ có 1 triệu mật mã có thể có.
Một vi phạm thành công sẽ yêu cầu phải nhập một tỷ lệ phần trăm đáng kể về mặt thống kê trong khoảng thời gian ba giờ.
Mặc dù các tài nguyên cần thiết để bắn phá các máy chủ Dashlane với số lượng dự đoán như vậy trong một khoảng thời gian ngắn là có thể, nhưng chúng không thường được tìm thấy trong các cuộc tấn công vũ phu thông thường.
Dashlane không nói rõ ràng rằng họ đặt giới hạn tỷ lệ cho số lần gửi mà người dùng có thể thực hiện, mặc dù có vẻ như điều này dựa trên ngôn ngữ trong lời khuyên rằng “Do số lượng lần thử tài khoản người dùng cao, các biện pháp kiểm soát bảo mật của Dashlane sẽ tự động khóa các tài khoản được atta nhắm đến.
ck.” Ngay cả khi giả sử không có giới hạn về tỷ lệ, thật khó để tưởng tượng các máy chủ Dashlane ít nhất không bị nghẹt thở khi nhận được 150.000 lượt gửi trở lên trong một giờ hoặc lâu hơn. Có thể việc Dashlane đề cập đến 2FA có ý nghĩa khác.
Đôi khi, 2FA có thể xuất hiện dưới dạng thông báo đẩy. Khi ai đó nhập đúng mật khẩu tài khoản, thông báo sẽ được gửi đến thiết bị đã đăng ký.
Để đăng nhập thành công, người dùng phải nhấn nút trên thiết bị của họ cung cấp yếu tố thứ hai. Một chiến thuật được gọi là tấn công mệt mỏi 2FA khai thác sự ma sát của quá trình này.
Kẻ tấn công đã phá vỡ yếu tố xác thực đầu tiên cố gắng đăng nhập nhiều lần, dẫn đến mỗi lần gửi thông báo đẩy đến mục tiêu. Sau hàng chục, thậm chí hàng trăm lần thử, mục tiêu cuối cùng cũng nhượng bộ và nhấn nút phê duyệt.
Và tất nhiên, các cuộc tấn công brute-force vào 2FA yêu cầu yếu tố xác thực đầu tiên phải bị phá vỡ. Dashlane không đề cập đến yếu tố này là gì hoặc nó bị hỏng như thế nào.
Điều hợp lý hơn nữa là cuộc tấn công đã khai thác các tính năng cho phép người dùng Dashlane đăng ký thiết bị mới vào tài khoản của họ. Những kỹ thuật như vậy thường hoạt động bằng cách lừa người dùng phê duyệt yêu cầu phê duyệt thiết bị thuộc sở hữu của kẻ tấn công.
Dashlane cho biết họ đã liên hệ với ít hơn 20 chủ tài khoản có kho tiền được mã hóa. Công ty cho biết: “Nếu bạn là người dùng Dashlane và chưa nhận được tin nhắn từ Dashlane cụ thể về rủi ro kho tiền thì sẽ không có ảnh hưởng gì đến tài khoản Dashlane của bạn”.
Nó cũng lưu ý rằng nếu không có mật khẩu giải mã chính—mà Dashlane không bao giờ nhìn thấy hoặc lưu trữ—nội dung trong vault vẫn được an toàn. Nhưng nếu không có thêm thông tin, chúng ta sẽ có nhiều câu hỏi hơn đáng lẽ phải có.
Dashlane đã giữ im lặng trong hơn 48 giờ kể từ khi xuất bản lời khuyên không rõ ràng. Đại diện công ty đã không trả lời email tìm kiếm thông tin chi tiết.
Bài đăng được cập nhật để thêm thông tin chi tiết từ người dùng Dashlane đã nhận được thông báo. Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin. Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.