هناك الكثير مما لا يمكن إضافته في الاستشارة الأمنية لمدير كلمات المرور Dashlane التي نشرها يوم الاثنين، محذرًا من أن المهاجمين تمكنوا من الحصول على 20 قبو مستخدم مشفر.
وقالت الشركة: “اعتبارًا من يوم الأحد 31 مايو 2026، شنت جهة خارجية هجومًا غاشمًا ضد حسابات معينة لمستخدمي Dashlane”. “كان الهدف من الهجوم هو فرض حماية المصادقة الثنائية (2FA) للسماح للمهاجم بتسجيل أجهزة جديدة على حسابات المستخدمين الحالية.”
مرحبا، داشلان، هل هناك أحد في المنزل؟
قدم مستخدم Dashlane الذي تلقى طلب المصادقة الثنائية هذا لقطة شاشة للإشعار، الذي وصل يوم الأحد.
كان المستخدم المقيم في المملكة المتحدة قلقًا واتصل بـ Dashlane من خلال روبوت الدعم. في النهاية، لم يحصل المستخدم على أي معلومات حول سبب إرسال الإشعار.
“ثم [I] قال لي المستخدم: “اكتشفت هذه الأخبار من Mastodon infosec وليس Dashlane بأنفسهم. أحاول حاليًا معرفة ما حدث! لأنه كيف يمكنك تشغيل طلب 2fa إذا لم تكن قد حصلت على كلمة المرور أولاً؟ باعتباري أحد العملاء الذين يدفعون رسومًا، أعتقد أنه كان ينبغي عليّ أن أعلم بهذا من Dashlane وليس من Mastodon infosec.”
تمتلئ العشرات من المناقشات على وسائل التواصل الاجتماعي بتعليقات مماثلة من المستخدمين الذين لا يفهمون أيضًا الآليات الأساسية لهذا الهجوم. عادةً ما تتخذ إجراءات الحماية 2FA شكل كلمة مرور لمرة واحدة يتم إنشاؤها بواسطة تطبيق مصادقة أو يتم إرسالها عبر رسالة نصية أو بريد إلكتروني. يبلغ طولها عادةً ستة أرقام وتتغير كل 45 ثانية أو نحو ذلك، على الرغم من أنه كما يشير الإشعار أعلاه، يظل الرمز صالحًا لمدة ثلاث ساعات.
القوة الغاشمة هي طريقة للتجربة والخطأ تعمل بسرعة على إرسال كل مجموعة ممكنة حتى الوصول إلى المجموعة الصحيحة. في ظل هذه الافتراضات، سيكون هناك مليون رمز مرور محتمل. سيتطلب الاختراق الناجح إدخال نسبة ذات دلالة إحصائية منها خلال نافذة مدتها ثلاث ساعات.
في حين أن الموارد اللازمة لقصف خوادم Dashlane بهذا الحجم من التخمينات في مثل هذه الفترة القصيرة من الوقت ممكنة، إلا أنها لا توجد بشكل شائع في هجمات القوة الغاشمة المعتادة. لا تقول Dashlane صراحةً إنها وضعت حدًا لمعدل عدد عمليات الإرسال التي يمكن للمستخدم القيام بها، على الرغم من أنه يبدو من المحتمل أن يعتمد على اللغة الواردة في الاستشارة التي تقول “بسبب الحجم الكبير للمحاولات على حسابات المستخدمين، يتحكم أمان Dashlane تلقائيًا في قفل الحسابات التي تم استهدافها بالهجوم.” حتى مع افتراض عدم وجود حد للمعدل، فمن الصعب أن نتخيل أن خوادم Dashlane لا تختنق مؤقتًا على الأقل عند تلقي 150000 أو أكثر من الإرسالات في ساعة أو نحو ذلك.
