„Dashlane" ataka: įsilaužėliai prasiveržė pro dviejų faktorių apsaugą ir pasiekė 20 seifų

Jei naudojatės „Dashlane" ir prieš kelias dienas gavote laišką apie paskyros riziką — tai ne klaida. 2026 m. gegužės 31-ąją nežinoma grupė užpuolikų sėkmingai prasiveržė pro kai kurių vartotojų dviejų faktorių autentifikaciją ir parsisiuntė jų šifruotus slaptažodžių seifus.

„Dashlane" duomenimis, ataka buvo nukreipta prieš asmeninio plano vartotojus. Užpuolikai naudojo brutalios jėgos metodą — masinį bandymą atspėti prisijungimo duomenis tol, kol apsauga pasiduoda. Įmonės saugumo sistemoms užfiksavus neįprastai didelį bandymų srautą, paveiktos paskyros buvo laikinai užblokuotos, tačiau saujelė atakų vis tiek pasiekė tikslą.

„Mažiau nei 20" — tokiu skaičiumi „Dashlane" apibūdino vartotojus, kurių užšifruoti seifai buvo parsisiųsti. Palyginti su 26 milijonais aktyvių platformos naudotojų, tai smulkus procentas. Visgi kiekvienam iš tų dvidešimties žmonių ši žinia reiškia, kad visas jų slaptažodžių rinkinys dabar yra svetimose rankose — nors ir užrakintas.

Parsisiųsti duomenys yra šifruoti ir jų neįmanoma atrakinti be pagrindinio slaptažodžio. „Dashlane" architektūra sukurta taip, kad net pati įmonė neturi prieigos prie vartotojų seifų turinio. Nebent pagrindinis slaptažodis buvo trivialus — „password123" ar gimimo data — tikimybė, kad užpuolikai jį pralauš, išlieka itin maža.

Įmonė pabrėžė, kad jos vidinės sistemos nebuvo pažeistos, o visi paveikti vartotojai gavo tiesioginius pranešimus. Likusiems klientams jokio poveikio nėra. Vis dėlto po incidento rekomenduojama peržiūrėti prie paskyros prijungtus įrenginius, įjungti 2FA, jei dar nepadaryta, ir naudoti ilgą, unikalų pagrindinį slaptažodį.

Nors ataka paveikė nedidelę saujelę, ji primena elementarią tiesą: slaptažodžių tvarkyklė yra stipriausia jūsų skaitmeninės tapatybės spyna, tačiau net tvirčiausia spyna neatlaikys, jei raktas bus per silpnas.