SchwachstellenHackerangriffeCyberkriminalität

Dashlane unter Brute-Force-Attacke: Weniger als 20 verschlüsselte Tresore kompromittiert

Von CyberDeutsch Redaktion
Dashlane unter Brute-Force-Attacke: Weniger als 20 verschlüsselte Tresore kompromittiert
Zusammenfassung

Der Passwortmanager Dashlane ist Ziel einer Brute-Force-Attacke geworden, bei der Angreifer zwischen dem 31. Mai und seiner Entdeckung versuchten, Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Die Hacker setzten automatisierte Software ein, um systematisch alle möglichen numerischen Kombinationen durchzuprobieren und damit Geräte auf Benutzerkonten zu registrieren. Dies hätte ihnen Zugriff auf verschlüsselte Tresore ermöglicht. Dashlane konnte den Angriff schnell erkennen und betroffene Konten automatisch sperren. Nach Unternehmensangaben gelang es den Angreifern, Tresore von weniger als 20 Privatnutzern herunterzuladen. Die Daten bleiben jedoch durch die Masterkennwort-Verschlüsselung geschützt – ein Zugriff wird als statistisch unmöglich erachtet. Für deutsche Nutzer, die auf Dashlane vertrauen, bietet dies einen wichtigen Lernpunkt zur Bedeutung zusätzlicher Sicherheitsebenen. Obwohl deutsche Unternehmen und Behörden aus der Attacke nicht direkt betroffen sind, zeigt der Vorfall die Anfälligkeit populärer IT-Lösungen und unterstreicht die Notwendigkeit robuster Authentifizierungsmechanismen im Zeitalter automatisierter Cyberangriffe.

Der Passwort-Manager Dashlane ist in den vergangenen Wochen zum Ziel einer massiven Brute-Force-Kampagne geworden. Dabei setzen Angreifer automatisierte Software ein, um die Zwei-Faktor-Authentifizierung auszuhebeln. Die Taktik ist dabei bemerkenswert präzise: Die Täter versuchten, in schneller Abfolge alle möglichen numerischen Kombinationen einzugeben, um den zeitlich begrenzten Sicherheitscode zu erraten, bevor dieser verfällt.

Nach erfolgreicher Überwindung der 2FA konnten sich die Angreifer neue Geräte auf den betroffenen Konten registrieren. Dies ist ein entscheidender Schritt, denn wer ein Gerät auf einem Dashlane-Account registriert hat, erhält Zugriff auf den verschlüsselten Vault – das digitale Tresor, in dem sämtliche Passwörter und Zugangsdaten gespeichert sind. In diesem Fall gelang es den Angreifern, die verschlüsselten Vaults von weniger als 20 Nutzern herunterzuladen.

Die gute Nachricht: Dashlane’s Sicherheitssysteme erkannten die Angriffe schnell und sperrten betroffene Accounts automatisch. Zudem betont das Unternehmen, dass die Vault-Daten ohne das Master-Passwort nicht zu entschlüsseln sind. Die verwendete Verschlüsselung ist so robust, dass selbst intensivste Entschlüsselungsversuche über längere Zeit hinweg statistisch praktisch aussichtslos sind.

Ein wichtiges Detail: Das einzige realistische Mittel, um an das Master-Passwort eines Nutzers zu gelangen, ist ein Phishing-Angriff. Die Angreifer in diesem Fall hätten also nicht nur die verschlüsselten Vaults knacken müssen, sondern auch das Passwort selbst in Erfahrung bringen müssen – ein deutlich höherer Aufwand.

Dashlane versichert zudem, dass keine Hinweise auf eine Kompromittierung seiner eigenen Systeme vorliegen. Die betroffenen Nutzer wurden bereits benachrichtigt und ihre Konten wiederhergestellt.

Für Nutzer in Deutschland ist dieser Vorfall ein wichtiger Anlass zur Reflexion über Cybersicherheit. Das BSI empfiehlt fortlaufend, Zwei-Faktor-Authentifizierung zu nutzen, doch auch diese Schutzmaßnahme ist nicht unfehlbar. Ein zusätzliches Sicherheitsbewusstsein gegenüber Phishing-Versuchen bleibt daher essenziell.

Ähnliche Artikel