Mehrere Dashlane-Konten wurden gesperrt, nachdem ein externer Angreifer per Brute-Force versucht hatte, sich Zugang zu verschaffen. Bei diesem Angriffsmuster werden in schneller Folge zahlreiche Passwörter durchprobiert, bis das richtige gefunden ist. Die Anmeldeversuche stammten dabei von weit entfernten Standorten und unbekannten Geräten.
„Wir können bestätigen, dass bestimmte Dashlane-Nutzerkonten Ziel eines Brute-Force-Angriffs durch einen externen Akteur wurden, was zur Sperrung dieser Konten im Rahmen der eingebauten Sicherheitskontrollen von Dashlane führte. Die betroffenen Konten sind inzwischen wieder freigeschaltet“, erklärte Jordan Fylolenko, Senior Director für Unternehmenskommunikation bei Dashlane. Sein Team befasse sich aktiv mit dem Vorfall und ergreife weitere Schutzmaßnahmen für die Kunden. Es gebe keine Hinweise auf eine Kompromittierung der Systeme von Dashlane.
Zuvor hatten besorgte Nutzer auf Reddit berichtet, sie hätten Benachrichtigungen über verdächtige Zugriffsanfragen aus dem Ausland erhalten. Die E-Mails enthielten Bestätigungscodes, mit denen legitime Kontoinhaber neue Geräte registrieren können. Viele waren verunsichert, weil sie die Anfragen nicht selbst gestellt hatten, und versuchten zu klären, ob es sich um einen gegen Dashlane-Nutzer gerichteten Phishing-Versuch handelte.
Wenige Stunden später meldete sich Dashlane in einigen dieser Reddit-Threads zu Wort: Die eigenen Systeme seien sicher, ausgelöst worden sei der Vorgang durch die Brute-Force-Angriffe. Sichere Plattformen setzen zur Abwehr automatisierter Angriffe Schutzmechanismen wie Ratenbegrenzung, CAPTCHA-Abfragen und Kontosperren ein, die nach einer bestimmten Zahl fehlgeschlagener Versuche greifen.
Laut Statusseite des Anbieters begann die Untersuchung des Vorfalls am 31. Mai um 15:19 UTC; bis 22:30 UTC wurde das Problem als „behoben“ markiert mit der Angabe, alle betroffenen Konten seien wieder freigeschaltet. Eine weitere Meldung am 1. Juni um 07:32 UTC bestätigte diesen Status; Dashlane versicherte, das Team beobachte die Lage und setze zusätzliche, gezielte Maßnahmen um.
Trotz der Einstufung als behoben berichten einige Nutzer weiterhin von Anmeldeproblemen und davon, dass der Support nicht reagiere. BleepingComputer fragte bei Dashlane nach der Zahl der betroffenen Konten, erhielt bis zur Veröffentlichung jedoch keine Antwort.
