Dashlane detalha ataque que baixou cofres criptografados via exploração de APIs de registro

A falha não está na criptografia do cofre, o Argon2 com AES-256-CBC ainda resiste bem a ataques offline, mas no fluxo de registro de dispositivos, que aceitava tokens de 2FA sem limite de tentativas ou bloqueio por IP. Atacantes usaram spray de códigos de seis dígitos contra menos de 20 contas entre 31 de maio e 2 de junho, conseguindo registrar aparelhos falsos e baixar cópias criptografadas dos cofres. A Dashlane já havia detectado o padrão anômalo em 31/05 às 15:19 UTC e resolveu o problema em menos de 7 horas, mas o dano foi feito: pelo menos 12 cofres foram exfiltrados. O risco real não é o download, mas o cracking offline de senhas mestras fracas, como mostrou o caso LastPass em 2022, onde senhas de 8 caracteres reutilizadas caíram em dias.

O ataque explora uma brecha clássica em sistemas 'zero knowledge': a proteção do dado depende inteiramente da senha do usuário, mas o acesso ao dado criptografado pode ser obtido por falhas na camada de autenticação, exatamente o que aconteceu. Isso desmonta a ilusão de que 'criptografado = seguro' quando os mecanismos de controle de acesso são fracos. Diferente de vazamentos em texto puro (como o do Myspace93), aqui o atacante não rouba senhas prontas, mas ganha tempo para testar senhas mestras em laboratório, sem restrições de taxa.

Na cobertura de 2 de junho, a Dashlane só informou a suspensão de contas por 'tentativas repetidas de registro de dispositivos'. Agora, detalhou que o ataque foi um spray direto de tokens de 2FA contra APIs específicas, não força bruta na senha mestra, mas bypass do segundo fator. Também confirmou o número exato de cofres baixados (pelo menos 12) e a janela de exploração (31/05, 15:19 UTC). Antes era rumor; agora é fato técnico com cronologia, escopo e mitigação documentada.

Empresas que confiam em gerenciadores de senhas como parte de políticas de segurança corporativa precisam rever como essas ferramentas lidam com autenticação de dispositivo, não só com criptografia. Um único ponto fraco no fluxo de registro pode expor todos os segredos armazenados, mesmo que nunca tenham sido acessados online. Para usuários, o recado é claro: senha mestra forte e única não é recomendação, é exigência técnica. Senhas como 'senha123' ou reutilizadas em outros serviços transformam o cofre criptografado em um alvo viável para cracking offline, e isso leva minutos, não anos, se a senha for fraca.