Nieuws
image

Dashlane beschrijft aanval waarbij wachtwoordkluis klanten werd gestolen

vrijdag 5 juni 2026, 14:40 door Redactie, 2 reacties

Dashlane heeft meer details gegeven over de bruteforce-aanval waarbij de wachtwoordkluis van een aantal klanten werd gestolen. Gebruikers van de online wachtwoordmanager kunnen een apparaat aan hun Dashlane-account toevoegen, zoals een telefoon of computer. Wanneer de gebruiker een extra apparaat toevoegt verifieert Dashlane de identiteit van de accounthouder.

Bij deze verificatie wordt een zescijferig token naar het e-mailadres van de gebruiker gestuurd. Gebruikers die tweefactorauthenticatie (2FA) hebben ingeschakeld moeten via hun authenticatie-app een code genereren. De ontvangen of gegenereerde code wordt vervolgens in de Dashlane-app ingevoerd. Dashlane registreert het nieuwe apparaat en downloadt een kopie van de online wachtwoordkluis op het net toegevoegde apparaat.

De aanvaller had het voorzien op de API endpoints die Dashlane gebruikt voor de registratie van nieuwe apparaten. Bij de bruteforce-aanval werd een grote aantal geautomatiseerde requests naar deze endpoints gestuurd, aldus de uitleg van het bedrijf. Voordat de aanval volledig was gestopt was het de aanvaller gelukt om geldige tokens voor minder dan twintig gebruikers te bruteforcen en genereren. Daardoor kon de aanvaller een nieuw apparaat aan het account van deze gebruikers toevoegen, waarna de wachtwoordkluis op het apparaat van de aanvaller werd gedownload.

Dashlane benadrukt dat de gestolen wachtwoordkluizen versleuteld zijn en de aanvaller het master password moet hebben om te kunnen inloggen. De wachtwoordmanager meldt verder dat het extra verificatiemaatregelen gaat invoeren voor het toevoegen van nieuwe apparaten.

Reacties (2)
Reageer met quote
Vandaag, 15:07 door Anoniem
Dus de aanvaller heeft eerst het wachtwoord van het account gebruteforced en daarna de 2fa gebruteforced?
Je zou toch denken dat na 3 pogingen een account vergrendeld wordt?
Reageer met quote
Vandaag, 15:58 door Anoniem
Door Anoniem: Dus de aanvaller heeft eerst het wachtwoord van het account gebruteforced en daarna de 2fa gebruteforced?

Dat lees ik niet - er staat niet dat het (ook) accounts met 2FA ingeschakeld betrof.

Met genoeg pogingen is het gokken van een zes-cijferige code (die gemaild wordt) wellicht wel haalbaar.


Je zou toch denken dat na 3 pogingen een account vergrendeld wordt?

Gelukkig hebben ze jou daar niet als designer .

Je zou namelijk meteen denken zo'n Denial of Service op klanten (3x proberen en lockout) een nogal groot probleem vormt .

Er was overigens wel een lockout op het (mega grote) aantal pogingen hier , maar op een publieke service wil je geen DoS op je gebruikers die veel te makkelijk te triggeren is .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure GenAI Deep Dive Security Training