Nội dung bài viết
Bằng cách nhắm mục tiêu vào số lượng lớn người dùng, những kẻ tấn công đã tăng cơ hội thành công. Dashlane cho biết những kẻ tấn công đã thực hiện một chiến dịch hack phối hợp nhằm vào một lượng lớn người dùng nhằm cố gắng khôi phục càng nhiều kho mật khẩu được mã hóa càng tốt.
Nhà cung cấp trình quản lý mật khẩu cho biết chưa đến 20 kho lưu trữ của người dùng cá nhân đã được tải xuống trước khi ngừng hoạt động.
Trong một chiến dịch bắt đầu vào Chủ nhật, kẻ đe dọa không rõ danh tính đã lạm dụng cơ chế cho phép người dùng Dashlane thêm các thiết bị mới, chẳng hạn như máy tính hoặc điện thoại, vào tài khoản của họ.
Bằng cách lạm dụng giao diện lập trình của Dashlane để đăng ký thiết bị, những kẻ tấn công đã gửi yêu cầu đến một số lượng lớn địa chỉ email đã đăng ký của người dùng hiện tại.
Trong bản cập nhật được công bố hôm thứ Năm, Dashlane đã viết: Tác nhân đe dọa đã nhắm mục tiêu vào các điểm cuối API để đăng ký thiết bị và sử dụng một cuộc tấn công vũ phu để gửi một lượng lớn yêu cầu tự động đến các điểm cuối đó.
Đáp lại, hệ thống bảo mật tự động của Dashlane đã hoạt động như dự định, kích hoạt tự động khóa các tài khoản được nhắm mục tiêu để bảo vệ những người dùng đó.
Trước khi cuộc tấn công được giảm thiểu hoàn toàn, kẻ đe dọa có thể tấn công vũ phu và tạo ra các mã thông báo hợp lệ với chi phí ít hơn 20 khách hàng sử dụng gói cá nhân, cho phép họ đăng ký thiết bị mới trên các tài khoản đó và tải xuống bản sao kho tiền được mã hóa của người dùng.
Khi người dùng cài đặt ứng dụng Dashlane trên thiết bị mới và cố gắng đăng ký ứng dụng đó vào tài khoản hiện tại của họ, trước tiên Dashlane sẽ xác minh danh tính của chủ tài khoản.
Quá trình xác minh này được hoàn tất bằng cách gửi mã thông báo sáu chữ số một lần đến địa chỉ email đã đăng ký của người dùng (hoặc đối với người dùng đã bật xác thực hai yếu tố, bằng cách xác thực mã sáu chữ số do ứng dụng xác thực của họ tạo ra).
Để đăng ký thành công, người dùng phải nhập mã này vào ứng dụng Dashlane. Tại thời điểm này, Dashlane sẽ phê duyệt việc đăng ký và gửi bản sao của kho tiền được mã hóa tới thiết bị.
Nội dung của Vault vẫn không thể đọc được cho đến khi người dùng nhập mật khẩu chính, mật khẩu này đóng vai trò là khóa giải mã. Như Dashlane giải thích trong tài liệu bảo mật của mình, mật khẩu một lần phải được nhập trên thiết bị đăng ký mới để đăng ký thành công.
Việc ép buộc mã một lần cho một tài khoản—có nghĩa là lặp lại mọi kết hợp có thể có cho đến khi nhập đúng mã—sẽ chẳng khác gì một việc vặt vãnh, ngay cả trong vòng ba tháng. khoảng thời gian ee mà mã vẫn hợp lệ.
Với 1 triệu mã hợp lệ có thể có, những kẻ tấn công sẽ phải thực hiện một tỷ lệ phần trăm có ý nghĩa thống kê trong khoảng thời gian đó. Giới hạn tỷ lệ, trong đó cho phép một số lượng yêu cầu nhất định cho mỗi tài khoản, cũng sẽ khóa tài khoản.
Để cải thiện tỷ lệ cược của mình, những kẻ tấn công đã gửi yêu cầu đăng ký thiết bị mới trên một số lượng lớn tài khoản. Sau đó, họ đồng thời nhập mã dùng một lần vào từng mã.
Về lý thuyết, việc tấn công hai tài khoản theo cách này sẽ tăng tỷ lệ cho mỗi lần thử lên 1 trên 500.000. Tấn công 1.000 tài khoản sẽ tăng tỷ lệ lên 1 trên 1.000, v.v.
Càng nhiều tài khoản được nhắm mục tiêu thì khả năng một trong số chúng bị loại càng cao. Tính kinh tế của việc phun mật khẩu cũng hoạt động tương tự.
Kỹ thuật này cũng làm suy yếu khả năng giới hạn tỷ lệ vì số lượng lớn các lần thử được dàn trải, hạn chế số lần truy cập vào bất kỳ tài khoản nào. Cuối cùng, cuộc tấn công rải 2FA đã tìm cách tấn công đúng tổ hợp vào ít hơn 20 tài khoản người dùng, theo Dashlane, trước khi nó bị tắt.
Công ty cho biết họ đã liên hệ với tất cả những người dùng đó và bất kỳ người dùng nào chưa nhận được thông báo đều không bị ảnh hưởng. Đối với một những kẻ tấn công để lấy được nội dung kho tiền đã được giải mã cho những tài khoản đó, họ vẫn phải bẻ khóa mật khẩu chính.
Dashlane khiến quá trình này trở nên khó khăn bằng cách sử dụng thuật toán có tên Argon2. Nó làm chậm và tăng cường đáng kể quá trình chuyển đổi mật khẩu chính văn bản thuần túy thành hàm băm mật mã.
Đổi lại, việc nhập số lượng lớn các dự đoán đòi hỏi một lượng lớn thời gian và tài nguyên máy tính, ngay cả khi việc bẻ khóa được thực hiện bằng GPU hoặc phần cứng chuyên dụng.
Điều đó có nghĩa là khả năng kẻ tấn công giải mã được một trong những kho tiền mã hóa mà chúng lấy được là rất nhỏ trong trường hợp mật khẩu chính mạnh, nghĩa là dài, được tạo ngẫu nhiên và có entropy cao. Tuy nhiên, không phải ai cũng sử dụng mật khẩu chính như vậy.
Trong trường hợp mật khẩu chính được đưa vào danh sách từ được trao đổi bởi những kẻ bẻ khóa mật khẩu, cơ hội thành công sẽ cao hơn, mặc dù vẫn khó xảy ra.
Nói rộng hơn, vụ việc có những điểm tương đồng với vụ vi phạm LastPass năm 2022, cũng cho phép kẻ tấn công lấy được kho tiền được mã hóa của người dùng. Cuối cùng, những kẻ tấn công đã lấy được thông tin được giải mã từ một số người trong số họ.
Sự thành công là kết quả của hai điều. Đầu tiên, chắc chắn trong các trường, chẳng hạn như URL trang web, vẫn không được mã hóa trong vault.
Điều đó có nghĩa là kẻ tấn công có thể đọc chúng ngay cả khi không có mật khẩu chính. Thứ hai, một số kho tiền bị đánh cắp đã sử dụng các thuật toán lỗi thời không tăng cường đầy đủ quy trình chuyển đổi mật khẩu văn bản thuần túy thành mật khẩu băm.
Dashlane đã nói rằng không có trường người dùng nào trong vault không được mã hóa. Hơn nữa, khi các thuật toán được tăng cường định kỳ để giải thích những tiến bộ trong khả năng bẻ khóa, quá trình này sẽ diễn ra tự động mà không cần tương tác.
Quá trình cập nhật thuật toán cho các vault LastPass vào thời điểm đó gặp nhiều trở ngại hơn đối với người dùng. Thông báo ban đầu của Dashlane đã bỏ qua các chi tiết chính của cuộc tấn công và dẫn đến sự nhầm lẫn đáng kể về những rủi ro đang diễn ra mà người dùng phải đối mặt.
Để hết sức thận trọng, cả mật khẩu chính và nội dung của bất kỳ kho tiền Dashlane đã khôi phục nào đều phải được thay đổi ngay lập tức để giảm nguy cơ, tuy nhiên khó xảy ra, những kẻ tấn công thành công trong việc phá được mật khẩu chính.
Người dùng Dashlane không bị ảnh hưởng không cần thực hiện bất kỳ hành động nào như vậy. Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và kiến thức sâu rộng hoạt động trong lĩnh vực khoa học và nghệ thuật công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin. Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.