Wachtwoordkluizen Dashlane-klanten gestolen bij bruteforce-aanval
Dashlane maakte onlangs al bekend dat het het doelwit was van een bruteforce-aanval. Daarbij probeerden hackers via herhaaldelijke inlogpogingen toegang te krijgen tot gebruikersaccounts. Het uiteindelijke doel lijkt te zijn geweest om nieuwe apparaten aan bestaande Dashlane-accounts toe te voegen.
Naar aanleiding van die aanval blokkeerde Dashlane automatisch verschillende accounts nadat een groot aantal mislukte loginpogingen werd vastgesteld. Daardoor zaten sommige gebruikers langere tijd vast buiten hun account. Nu blijkt dat de gevolgen verder reiken dan aanvankelijk gedacht: van minder dan twintig gebruikers werden ook de wachtwoordkluizen buitgemaakt.
Gestolen kluizen zijn versleuteld
Volgens Dashlane zijn de gestolen kluizen stuk voor stuk versleuteld. Om toegang te krijgen tot de inhoud is het masterpaswoord van de gebruiker nodig. Daardoor zijn de gegevens niet onmiddellijk bruikbaar voor aanvallers.
Toch blijft de situatie problematisch voor de getroffen gebruikers. Een versleutelde kluis is vandaag misschien moeilijk te kraken, maar dat biedt geen garantie voor de toekomst. Wie door de aanval getroffen werd, doet er daarom goed aan om de opgeslagen wachtwoorden uit voorzorg te wijzigen.
Alle betrokken gebruikers zouden inmiddels persoonlijk zijn geïnformeerd. Dashlane zegt daarnaast de kwetsbaarheid te hebben verholpen die de aanvallers misbruikten om de kluizen buit te maken. Hoe de aanval precies verliep, maakt het bedrijf voorlopig niet bekend. De diefstal zou hebben plaatsgevonden tijdens dezelfde aanvalsgolf als de eerder gemelde bruteforce-aanvallen.
Zijn wachtwoordmanagers nog wel veilig?
Zo’n incident roept onvermijdelijk de vraag op of wachtwoordmanagers nog wel veilig zijn. Het is bovendien niet de eerste keer dat versleutelde kluizen in verkeerde handen terechtkomen. Ook LastPass kwam enkele jaren geleden zwaar onder vuur te liggen nadat aanvallers toegang kregen tot klantgegevens en versleutelde wachtwoordkluizen.
Toch blijven dergelijke incidenten eerder uitzonderlijk. Wachtwoordmanagers zijn al jaren een aantrekkelijk doelwit voor cybercriminelen, maar grootschalige succesvolle aanvallen blijven relatief zeldzaam.
Veel aanbieders laten bovendien regelmatig onafhankelijke beveiligingsaudits en pentesten uitvoeren. Daarbij onderzoeken externe specialisten de beveiliging van de dienst en formuleren ze aanbevelingen om mogelijke zwakke plekken weg te werken. Proton Pass publiceert dergelijke rapporten bijvoorbeeld openbaar. Ook Bitwarden laat jaarlijks een externe audit uitvoeren.
Volledige veiligheid bestaat niet. Geen enkel softwarebedrijf kan garanderen dat er nooit een kwetsbaarheid opduikt. De combinatie van versleuteling, onafhankelijke audits en voortdurende beveiligingsupdates maakt moderne wachtwoordmanagers echter nog steeds tot een van de veiligste manieren om wachtwoorden te bewaren. Zonder het juiste masterpaswoord blijft een goed versleutelde kluis voor aanvallers in de praktijk vrijwel waardeloos.
