Hackers Brute Forced Dashlane 2FA, descarga de bóveda cifrada
TL; DR
Los atacantes obligaron al sistema 2FA de Dashlane a registrar nuevos dispositivos con menos de 20 cuentas descargando su bóveda de contraseñas cifradas. Las bóvedas están cifradas con contraseñas maestras que Dashlane nunca almacena, pero los usuarios con contraseñas débiles corren el riesgo de ser descifradas fuera de línea.
Dashlane reveló el domingo que un atacante externo lanzó un ataque de fuerza bruta contra su sistema de autenticación de dos factores, eludiendo con éxito las protecciones 2FA en menos de 20 cuentas de usuario del Plan Personal y descargando copias de sus bóvedas de contraseñas cifradas. El ataque, que comenzó el 31 de mayo, desencadenó bloqueos automáticos de cuentas en un amplio conjunto de usuarios específicos porque los controles de seguridad de Dashlane detectaron un gran volumen de intentos de autenticación.
El procedimiento fue sencillo. Los atacantes utilizan software automatizado para enviar rápidamente todas las combinaciones numéricas posibles para códigos 2FA basados en el tiempo, tratando de adivinar la secuencia correcta antes de que caduque cada código de corta duración. Si tiene éxito, esto les permite registrar un nuevo dispositivo con la cuenta objetivo, dándoles el acceso que necesitan para descargar la bóveda cifrada del usuario desde los servidores de Dashlane.
Qué fue tomado y qué significa
Las bóvedas cifradas contienen las contraseñas guardadas del usuario, notas seguras y otras credenciales, pero están cifradas con la contraseña maestra del usuario, que, según Dashlane, nunca se envía en texto plano a sus servidores. La arquitectura de conocimiento cero significa que incluso con una copia de la bóveda, un atacante no puede acceder a su contenido sin la contraseña maestra. Dashlane dice que su cifrado Vault "garantiza que cualquier intento de obtener acceso a Vault sea estadísticamente poco probable que tenga éxito, incluso durante largos períodos de tiempo".
💜 de tecnología de la UE
Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. Regístrate ahora!
Esa seguridad sólo se mantendrá si los usuarios afectados eligen una contraseña maestra única y segura. Si alguno de los menos de 20 usuarios cuyas bóvedas se descargan usa contraseñas maestras débiles o reutilizadas, esas bóvedas se pueden descifrar fuera de línea mediante ataques de diccionario o métodos de fuerza bruta. Los ataques de relleno de credenciales, que utilizan contraseñas expuestas a otras infracciones, son particularmente efectivos contra usuarios que reutilizan credenciales en todos los servicios.
Vulnerabilidad 2FA
El ataque aprovechó una limitación fundamental de los códigos 2FA de contraseñas de un solo uso basadas en el tiempo (TOTP): normalmente tienen seis dígitos, lo que proporciona solo un millón de combinaciones posibles por ventana de 30 segundos. Los sistemas automatizados pueden enviar miles de intentos por segundo, y si la limitación de velocidad no es lo suficientemente agresiva, la probabilidad de adivinar un código válido durante su vida útil se vuelve no trivial después de muchos intentos.
Los controles de seguridad de Dashlane detectaron el ataque y bloquearon las cuentas afectadas, lo que evitó compromisos mayores pero causó interrupciones para los usuarios legítimos que quedaron bloqueados. La tensión entre el bloqueo de seguridad y la experiencia del usuario es un desafío recurrente para los sistemas de autenticación: el bloqueo agresivo detiene a los atacantes pero también crea un efecto de denegación de servicio para los usuarios genuinos.
Dashlen dijo que su investigación no encontró evidencia de que sus propios sistemas hubieran sido comprometidos. El ataque se dirigió a cuentas de usuarios externas en lugar de explotar una vulnerabilidad en la infraestructura de Dashlane.
Eco de último paso
El incidente inevitablemente generará comparaciones con la violación de LastPass de 2022, donde los atacantes robaron las bóvedas de contraseñas cifradas de millones de usuarios. En ese caso, los investigadores confirmaron más tarde que algunas bóvedas con contraseñas maestras débiles fueron descifradas, lo que provocó el robo de criptomonedas y otras pérdidas en el mundo real. Las fuerzas del orden se han dirigido cada vez más a la infraestructura cibercriminal, pero el crackeo de bóvedas fuera de línea ocurre más allá del alcance de las protecciones del lado del servidor.
La escala es diferente, menos de 20 bóvedas frente a millones, pero el principio es el mismo: una bóveda cifrada es tan segura como la contraseña maestra. El consejo de Dashlane a los usuarios afectados es revisar los dispositivos registrados, eliminar los dispositivos desconocidos, habilitar 2FA si aún no está habilitado y, lo más importante, utilizar una contraseña maestra única y segura que sea larga y difícil de adivinar.
Divulgación Siguiendo prácticas responsables de comunicación de seguridad, Dashlane divulga de inmediato sus recomendaciones y proporciona medidas correctivas específicas. Pero el incidente plantea una pregunta más amplia para la industria de administradores de contraseñas: si se puede obligar a 2FA a registrar nuevos dispositivos, ¿qué capas de autenticación adicionales se necesitan para proteger los productos de protección al consumidor más sensibles que usa la mayoría de la gente?
