Nach Darstellung von Dashlane setzten die Angreifer automatisierte Software ein, um „in schneller Folge jede mögliche Zahlenkombination an das System zu übermitteln, in der Hoffnung, die exakte Abfolge zu erraten, bevor der kurzlebige Sicherheitscode abläuft". Ziel war es, die Zwei-Faktor-Authentifizierung zu überwinden und ein eigenes Gerät auf einem fremden Konto zu registrieren.
Die Geräteregistrierung ist der entscheidende Schritt: Sie verschafft dem Angreifer den Zugriff, der nötig ist, um den verschlüsselten Tresor eines Nutzers von den Servern des Unternehmens herunterzuladen. Dashlane zufolge wurde der Angriff jedoch schnell erkannt, woraufhin die betroffenen Konten automatisch gesperrt wurden, um den Schaden einzudämmen.
Trotz der Sicherheitsmechanismen gelang es den Tätern, einige Konten zu kompromittieren. Sie luden eine Kopie der verschlüsselten Tresore von weniger als 20 Nutzern mit einem Privattarif herunter.
Den Daten selbst kommt der Angreifer damit nach Angaben des Unternehmens nicht näher: „Auf die Tresordaten von Dashlane kann ohne das Master-Passwort nicht zugegriffen werden, und unsere Tresorverschlüsselung stellt sicher, dass jeder Versuch, sich Zugang zum Tresor zu verschaffen, statistisch selbst über einen langen Zeitraum kaum Aussicht auf Erfolg hat", so Dashlane. Das Master-Passwort eines Nutzers könne ein Angreifer dem Unternehmen zufolge nur über Phishing erlangen.
Die gesperrten Konten wurden inzwischen wiederhergestellt und die betroffenen Nutzer benachrichtigt. Es gebe zudem keine Hinweise darauf, dass interne Systeme von Dashlane beeinträchtigt worden seien.
