Potrivit declarațiilor oficiale publicate pe site-ul companiei, atacatorii au reușit să treacă de sistemul de autentificare în doi pași (2FA) al Dashlane, folosind o metodă cât se poate de clasică, dar eficientă: forțarea brută. Practic, au folosit softuri automate care au încercat, în rafale rapide, combinații numerice până când au nimerit codul corect înainte ca acesta să expire. Odată ce au pătruns în conturi, hackerii au reușit să înregistreze dispozitive noi pe numele utilizatorilor vizați și au descărcat copii ale seifurilor criptate unde erau stocate datele sensibile ale acestora.
Ceea ce trebuie subliniat este că Dashlane insistă că propriile sale sisteme nu au fost compromise. Cu alte cuvinte, infractorii nu au spart serverele companiei, ci au găsit o modalitate de a ocoli mecanismele de protecție puse la dispoziția utilizatorilor. Acest detaliu ridică semne de întrebare serioase: cum anume a fost posibilă ocolirea 2FA? Compania a transmis că a „luat măsuri pentru a diminua riscul unor incidente viitoare”, dar, în mod frustrant pentru utilizatori și pentru comunitatea de securitate cibernetică, nu a oferit detalii concrete despre ce înseamnă asta.
Momentan, nu este clar dacă cele aproximativ douăzeci de conturi afectate au fost vizate din motive anume, poate pentru că deținătorii lor sunt persoane publice, jurnaliști, activiști sau angajați din domenii sensibile. Nici identitatea atacatorilor nu a fost făcută publică, iar Dashlane nu a comunicat dacă a primit vreo solicitare de răscumpărare. Purtătorii de cuvânt ai companiei au ales, în cel mai recent episod, să nu răspundă solicitărilor de presă, ceea ce lasă un gol imens de informații într-o situație în care transparența ar fi esențială.
Acum, partea care ar putea salva utilizatorii afectați: seifurile furate sunt criptate și nu pot fi deschise fără parola principală (master password), care, conform politicii Dashlane, este cunoscută doar de utilizator și nu este stocată niciodată în format necriptat pe serverele companiei. Asta înseamnă că hackerii au pus mâna pe un tezaur încuiat cu un lacăt, dar lacătul rămâne în seama victimei. Totuși, Dashlane avertizează că persoanele care au ales o parolă principală ușor de ghicit se află într-o situație mult mai periculoasă. Dacă atacatorii au suficient timp și resurse, pot încerca să spargă acele parole prin aceleași metode de forțare brută.
Din păcate, scenariul nu este unul nou. În 2022, LastPass, un alt gigant din industria managerilor de parole, a confirmat că backup-uri cu seifuri ale clienților au fost furate în urma unui atac cibernetic. La acea vreme, seifurile erau protejate tot cu parole principale, dar cerințele pentru clienții mai vechi erau mult mai slabe decât standardele ulterioare. Rezultatul? Hackerii au reușit să ghicească parolele unor conturi, iar consecințele s-au văzut pe termen lung. Au existat numeroase rapoarte care indicau faptul că infractorii au reușit să fure cantități impresionante de criptomonede, folosind chei private stocate în acele seifuri compromise. A fost un dezastru cu efecte în lanț, care a zdruncinat încrederea multor oameni în acest tip de servicii.
Cu un an înainte de episodul LastPass, în 2021, compania australiană Click Studios a emis un avertisment sever către toți clienții care foloseau managerul său de parole, Passwordstate. Hackerii reușiseră să compromită mecanismul de actualizare software al produsului, plantând malware direct pe sistemele utilizatorilor. Solicitarea a fost drastică: „Resetați toate credențialele!”. O măsură de urgență care arată cât de rapid se poate transforma un instrument de securitate într-o armă împotriva propriilor utilizatori.
Aceste incidente succesive conturează o realitate incomodă: nici măcar companiile care construiesc instrumente menite să ne protejeze identitatea digitală nu sunt imune la atacuri. Pentru utilizatorii obișnuiți, asta înseamnă câteva lecții esențiale. În primul rând, alegerea unei parole principale puternice, lungi, unice, nu este negociabilă. În al doilea rând, activarea celui mai sigur tip de autentificare în doi pași disponibil, preferabil bazată pe aplicații sau chei hardware, nu pe SMS, poate face diferența între un cont protejat și unul compromis. În al treilea rând, vigilența constantă și utilizarea unor instrumente suplimentare de monitorizare a breșelor rămân esențiale.
Episodul Dashlane ne reamintește că încrederea oarbă în tehnologie poate fi costisitoare. Chiar dacă seifurile furate sunt criptate, chiar dacă parolele principale nu au fost (încă) sparte, simplul fapt că aceste date au ajuns în mâini greșite reprezintă o amenințare latentă. În lumea cibernetică, timpul joacă întotdeauna în favoarea atacatorilor, nu a victimelor.
De ce este important:
Acest incident evidențiază faptul că nici măcar companiile specializate în securizarea parolelor nu sunt infailibile. Breșa de la Dashlane, deși limitată ca amploare, ridică semne de întrebare serioase cu privire la robustețea sistemelor 2FA și la capacitatea utilizatorilor de a-și proteja datele chiar și atunci când apelează la instrumente dedicate. Într-o eră digitală în care identitatea noastră online depinde de câteva combinații de caractere, fiecare vulnerabilitate descoperită ne afectează pe toți. Lecția rămâne clară: securitatea cibernetică nu este un produs pe care îl cumperi o dată, ci un proces continuu, care necesită atenție, educație și precauție constantă.
