Dashlane xác nhận tin tặc đánh cắp kho mật khẩu người dùng bằng cách bẻ khóa 2FA

Dashlane xác nhận tin tặc đánh cắp kho mật khẩu người dùng bằng cách bẻ khóa 2FA

Nhà sản xuất trình quản lý mật khẩu Dashlane vừa đưa ra thông báo cho biết tin tặc đã chiếm được ít nhất một chục kho mật khẩu được mã hóa của khách hàng trong một cuộc tấn công mạng diễn ra vào cuối tuần vừa qua.

Theo thông tin đăng tải trên trang web của công ty, những kẻ tấn công đã sử dụng kỹ thuật brute-force (tấn công vét cạn) đối với hệ thống xác thực hai yếu tố (2FA). Điều này cho phép chúng truy cập vào khoảng 20 tài khoản khách hàng. Bằng cách vô hiệu hóa cơ chế 2FA, tin tặc đã có thể tải xuống bản sao của các kho mật khẩu được mã hóa, nơi lưu trữ mật khẩu và các thông tin đăng nhập nhạy cảm khác của người dùng.

Chi tiết về cuộc tấn công

Trên trang sự cố, Dashlane khẳng định chưa có bằng chứng cho thấy hệ thống nội bộ của công ty bị xâm phạm. Tuy nhiên, họ vẫn chưa giải thích cụ thể làm thế nào tin tặc có thể vượt qua được lớp bảo vệ 2FA để truy cập vào tài khoản người dùng. Như chúng ta đã biết, 2FA là tính năng bảo mật quan trọng giúp ngăn chặn việc truy cập tài khoản chỉ bằng tên người dùng và mật khẩu bị đánh cắp, thường yêu cầu một mã xác thực bổ sung được gửi đến điện thoại của chủ tài khoản.

"Mục tiêu của cuộc tấn công là dùng brute-force để phá vỡ lớp bảo vệ xác thực hai yếu tố (2FA), cho phép kẻ tấn công đăng ký thiết bị mới trên các tài khoản người dùng hiện có," — Dashlane cho biết.

Công ty giải thích rằng những kẻ tấn công có thể sử dụng phần mềm tự động để "nhanh chóng gửi mọi kết hợp số có thể đến hệ thống, hy vọng đoán đúng chuỗi chính xác trước khi mã bảo mật [2FA] ngắn hạn hết hạn."

Rủi ro và khuyến nghị

Dashlane cho biết đã "thực hiện các bước để giảm thiểu rủi ro của các sự cố trong tương lai", nhưng không nêu rõ đó là những biện pháp nào. Hiện tại, công ty đã thông báo cho khoảng 20 khách hàng có kho mật khẩu bị đánh cắp. Chưa rõ liệu những khách hàng cụ thể này có bị nhắm mục tiêu vì lý do đặc biệt nào hay không, chẳng hạn như vị trí công việc hoặc nghề nghiệp của họ.

Các đại diện của Dashlane chưa phản hồi yêu cầu bình luận. Công ty cũng chưa tiết lộ liệu họ có biết ai là người đứng sau cuộc tấn công này hay không, hay tin tặc đã liên hệ với các yêu cầu như tiền chuộc hay không.

Về mặt kỹ thuật, các kho mật khẩu bị đánh cắp đã bị làm rối và không thể đọc được mà không có mật khẩu chính (master password) của khách hàng. Theo Dashlane, mật khẩu này chỉ do người dùng biết và không được tải lên máy chủ của Dashlane dưới dạng văn bản thuần (plaintext). Tuy nhiên, công ty cảnh báo rằng những khách hàng sử dụng mật khẩu chính dễ đoán có thể gặp rủi ro cao hơn trong việc bị tin tặc đoán ra và giải mã kho mật khẩu của mình.

Bối cảnh ngành công nghiệp bảo mật

Các vụ vi phạm dữ liệu ảnh hưởng đến các công ty quản lý mật khẩu là khá hiếm gặp, nhưng hậu quả của chúng có thể kéo dài.

Vào năm 2022, LastPass đã xác nhận rằng các bản sao lưu kho mật khẩu của khách hàng đã bị đánh cắp trong một cuộc tấn công mạng. Mặc dù các kho mật khẩu được bảo vệ bằng mật khẩu chỉ do khách hàng biết, nhưng yêu cầu mật khẩu đối với những khách hàng đầu tiên yếu hơn nhiều so với tiêu chuẩn sau này, cho phép tin tặc sử dụng brute-force để dễ dàng đoán được mật khẩu của một số người dùng. Đã có nhiều báo cáo về việc tin tặc đánh cắp lượng lớn tiền điện tử (crypto) của khách hàng, có thể bằng cách sử dụng các khóa riêng tư được lưu trữ trong các kho LastPass bị đánh cắp có mật khẩu chính đã bị bẻ khóa.

Một năm trước đó, công ty phần mềm Úc Click Studios đã cảnh báo tất cả khách hàng sử dụng trình quản lý mật khẩu chính Passwordstate của họ để "đặt lại tất cả thông tin đăng nhập" sau khi tin tặc xâm phạm cơ chế cập nhật phần mềm để cài đặt phần mềm độc hại vào hệ thống của khách hàng.