Az éjszaka, amikor a Dashlane megremegett
2026 május 31-én, vasárnap este számos Dashlane-felhasználó kapott egy nyugtalanító értesítést a fiókjáról: valaki ismeretlen helyszínről és ismeretlen eszközről próbált bejelentkezni a fiókjukba. A felhasználók hirtelen nem tudtak hozzáférni a tárolt jelszavaikhoz, mások pedig arról kaptak figyelmeztetést, hogy valaki új eszközt próbált regisztrálni a fiókjukhoz.
A Reddit és más fórumok hamar megteltek aggódó bejegyzésekkel. Sokan azt hitték, adathalász kísérlet célpontjai lettek, és az értesítő e-mailek nem is a Dashlane-től, hanem bűnözőktől érkeztek.
A Dashlane státuszoldala szerint a vizsgálatot május 31-én, 15:19 UTC-kor indították el, és 22:30 UTC-ra az incidens „MEGOLDVA" jelzéssel zárult – a cég bejelentése szerint minden érintett fiókot visszaállítottak.
De a történet nem ért ott véget.
Hogyan hajtották végre a támadást?
A módszer neve: brute-force (nyers erő) támadás – de ez az eset nem a szokványos jelszótörési kísérlet volt.
A hacker egy sor Dashlane-fiók ellen indított támadást, amelynek során a kétfaktoros hitelesítés (2FA) védelmét próbálta feltörni nyers erővel, hogy új eszközöket regisztrálhasson a meglévő fiókokhoz.
A folyamat így néz ki a Dashlane rendszerében: amikor egy felhasználó új eszközt akar hozzáadni fiókjához, a Dashlane egy egyszeri, hatjegyű tokent küld a felhasználó regisztrált e-mail-címére. Ha a felhasználó kétfaktoros hitelesítést is engedélyezett, akkor az authenticator alkalmazás által generált hatjegyű kód is szükséges. Amint a felhasználó beírja ezt a kódot a Dashlane alkalmazásba, a rendszer regisztrálja az eszközt, és letölti a titkosított jelszótárat az eszközre.
A támadók tehát nem a Dashlane szervereibe törtek be – hanem a kétlépéses hitelesítési folyamatot vették célba, automatikusan próbálgatva a hatjegyű kódokat.
Mi sérült – és mi nem?
A hackerek körülbelül 20 felhasználó jelszótárának másolatát töltötték le – ugyanakkor a Dashlane hangsúlyozta, hogy a tárolt adatok titkosítottak, és csak a felhasználó mesterjelszavával férhetők hozzá.
A Dashlane titkosított jelszótára nem érhető el a mesterjelszó ismerete nélkül. A cég szerint a titkosítás olyan erős, hogy a tár feltörésére tett kísérletek hosszú idő alatt sem valószínű, hogy sikerrel járnának. Az érintett felhasználókat már értesítették.
A titkosítás részletei: a Dashlane az Argon2 + AES-256-CBC + HMAC-SHA256 kombinációt alkalmazza, ami iparági szinten az egyik legerősebb védelmi megoldásnak számít. A cég soha nem tárolja a mesterjelszavakat vagy azok levezetett változatait a szerverein – ezt hívják „zero-knowledge" (nullaismeret-alapú) architektúrának.
Ugyanakkor a Dashlane figyelmeztetett: azok a felhasználók, akiknek könnyen kitalálható a mesterjelszavuk, nagyobb kockázatnak vannak kitéve – a letöltött tárakat a jövőben meg lehet kísérelni visszafejteni.
A cég reakciója: gyors, de aggasztó pillanatok is akadtak
A Dashlane eleinte május 31-én megoldottnak nyilvánította az incidenst, majd június 1-jén visszaállította a státuszt „megfigyelés" fokozatra, jelezve, hogy az esemény az e-mail értesítési és kétfaktoros hitelesítési rendszereket is érintette.
Jordan Fylolenko, a Dashlane kommunikációs igazgatója a BleepingComputernek adott nyilatkozatában megerősítette: „Megerősítjük, hogy bizonyos Dashlane-fiókokat egy külső fél brute-force támadással vett célba, ami az érintett fiókok felfüggesztéséhez vezetett a Dashlane beépített biztonsági kontrolljainak részeként. Az érintett fiókokat most visszaállítottuk. Nincs bizonyíték arra, hogy a Dashlane rendszerei kompromittálódtak volna."
Mit tett a Dashlane a jövőbeli védelem érdekében?
Az incidens vizsgálata befejeztével a cég több intézkedést is bejelentett:
A Dashlane hálózati szinten és a terméken belül is további védelmi rétegeket vezetett be a rosszindulatú forgalom azonosítása és kiszűrése érdekében. Emellett az új eszközök regisztrációs folyamatába is extra hitelesítési lépéseket illesztenek be.
Mit tegyél most, ha Dashlane-t használsz?
A Dashlane konkrét tanácsokat adott felhasználóinak:
1. Ellenőrizd a regisztrált eszközöket. Nézd meg, hogy a fiókodhoz kapcsolt eszközök listájában nincs-e ismeretlen. Ha igen, távolítsd el azonnal.
2. Kapcsold be a kétfaktoros hitelesítést, ha még nem tetted meg – bár a támadók ezt is megpróbálták kikerülni, a 2FA nélküli fiókok még sebezhetőbbek.
3. Erősítsd meg a mesterjelszavadat. A cég szerint nincs szükség a mesterjelszó azonnali megváltoztatására – kivéve, ha az gyenge vagy könnyen kitalálható. Ha mégis bizonytalan vagy, változtasd meg egy erős, egyedi kifejezésre.
4. Ha értesítést kaptál az incidensről: te vagy az a ~20 felhasználó, akinek tárát letöltötték. Ebben az esetben fontold meg a mesterjelszó megváltoztatását és az összes tárolt jelszó frissítését.
A nagyobb kép: nem a Dashlane az első áldozat
Ez az eset élénken emlékeztet a 2022-es LastPass-botrányra, amelynek következményei még évekkel később is érezhetők voltak. A LastPass esetében kiderült, hogy a korai felhasználók jelszavait sokkal gyengébb szabványok szerint tárolták, mint a later standard, így a hackerek képesek voltak feltörni egyes tárakat. Számos jelentés számolt be arról, hogy bűnözők kriptovalutát loptak el áldozatoktól, valószínűleg a LastPass-tárokban tárolt privát kulcsok segítségével.
A Dashlane-eset ennél kisebb léptékű, és az érintett tárakat erős titkosítás védi – de a tanulság egyértelmű: egyetlen digitális biztonsági eszköz sem tekinthető törhetetlennek.
Zárógondolatok
A Dashlane elleni 2026 május végi támadás egyszerre mutatja meg a jelszókezelők erejét és sebezhetőségét. Az erős titkosítás valószínűleg megakadályozza, hogy a lopott tárakat a gyakorlatban is feltörjék – de a közel 20 érintett felhasználónak jogos aggodalmuk van, különösen ha mesterjelszavuk nem elég erős.
A legfontosabb üzenet: a biztonság nem egylépéses folyamat. Erős mesterjelszó, kétfaktoros hitelesítés és rendszeres fiókellenőrzés együttesen nyújtanak valódi védelmet – jelszókezelővel vagy anélkül.
Hozzászólások
Jelentkezz be a hozzászóláshoz.
Még nincs hozzászólás. Legyél az első!