CEVIU Logo
Voltar

Dashlane suspende contas após detectar ataques de força bruta com origem na Coreia e na Rússia

Aprofundamento CEVIU

Aprofundamento

O ataque contra o Dashlane não foi uma falha de criptografia ou vazamento de banco de dados, mas uma ofensiva de força bruta direta contra o mecanismo de registro de novos dispositivos, um ponto fraco comum em gerenciadores de senhas que dependem de tokens 2FA de curta duração. Entre 31 de maio e 2 de junho, bots automatizados dispararam milhares de tentativas por segundo para adivinhar códigos TOTP antes da expiração, explorando o fato de que alguns tokens têm janelas de validade de até 90 segundos. A detecção automática funcionou, mas o bloqueio em massa gerou suspensões indevidas e confusão: e-mails com logotipo desatualizado minaram a credibilidade da comunicação, um erro crítico em resposta a incidente.

Menos de 20 contas tiveram tokens válidos gerados, permitindo o registro de novos dispositivos, mas sem acesso ao conteúdo dos cofres, pois a Senha Mestra não foi comprometida. Isso reforça um princípio técnico fundamental: a criptografia de extremo a extremo (E2EE) do Dashlane funciona como uma barreira física, não apenas lógica. O risco real está na fraqueza comportamental, phishing, senhas mestras fracas ou reutilizadas , , não na infraestrutura.

O que mudou

Na cobertura anterior do CEVIU sobre ataques via IA no Instagram (2 de junho), o vetor era social-engineering automatizado com falsificação de localização e exploração de fluxos de suporte. Aqui, o ataque é puramente técnico, sem interação humana: força bruta contra um protocolo de autenticação, com foco em latência e tempo de vida de token. Também há evolução operacional: enquanto a LA Metro sofreu roubo de 700GB de dados internos (27 de maio), o Dashlane não teve nenhum dado descriptografado ou exfiltrado, só tentativas frustradas de enrolar o sistema de registro.

Por que isso importa

Empresas que oferecem autenticação baseada em tokens de curta duração, especialmente em serviços sensíveis como gerenciadores de senhas, precisam repensar os limites de taxa (rate limiting) e a granularidade da detecção de comportamento anômalo. Um simples aumento no número de tentativas por IP não basta: o Dashlane agora adicionou verificação adicional no processo de registro de dispositivo, o que mostra que a defesa precisa ser adaptativa, não apenas reativa. Para usuários, o alerta é claro: 2FA não é proteção absoluta se a senha mestra for fraca ou reutilizada. E sim, o logotipo no e-mail de segurança importa, é o primeiro sinal de que a comunicação pode ser legítima ou não.

Linha do tempo

  1. Ataque à LA Metro atribuído a hackers iranianos resulta em roubo de 700GB de dados

  2. Início do ataque de força bruta contra o Dashlane para registrar novos dispositivos

  3. Dashlane suspende contas temporariamente após detectar tentativas massivas de login da Coreia e Rússia

Perguntas frequentes

Meu cofre do Dashlane foi acessado?

Não. A Dashlane confirmou que menos de 20 contas tiveram tokens válidos gerados, mas os cofres permaneceram criptografados. Sem sua Senha Mestra, os dados são inacessíveis, mesmo com o cofre baixado. Nenhum dado foi descriptografado ou vazado.

O que devo fazer agora?

Verifique se sua Senha Mestra é única, longa e não reutilizada em outros serviços. Ative a autenticação de dois fatores (2FA) com app autenticador, não SMS. Revise os dispositivos registrados no Dashlane e remova os desconhecidos. Ignore e-mails suspeitos com logotipos desatualizados.

Esse ataque afeta outros gerenciadores de senhas?

Depende da arquitetura. Serviços que usam tokens TOTP com janelas amplas de validade e pouca proteção contra repetição de tentativas estão vulneráveis ao mesmo padrão. Gerenciadores com verificação de comportamento (como Bitwarden com 2FA obrigatório para novos dispositivos) ou uso de WebAuthn reduzem significativamente esse risco.

Por que o Dashlane usou um logotipo antigo nos e-mails?

A empresa não esclareceu oficialmente, mas fontes próximas indicam que o template de notificação de segurança não foi atualizado desde 2024. Isso prejudicou a identificação imediata da mensagem como legítima, aumentando o risco de que usuários ignorassem o alerta ou caíssem em golpes de phishing subsequentes.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
02 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser