Dashlane suspende contas após detectar ataques de força bruta com origem na Coreia e na Rússia
Aprofundamento CEVIU
Aprofundamento
O ataque contra o Dashlane não foi uma falha de criptografia ou vazamento de banco de dados, mas uma ofensiva de força bruta direta contra o mecanismo de registro de novos dispositivos, um ponto fraco comum em gerenciadores de senhas que dependem de tokens 2FA de curta duração. Entre 31 de maio e 2 de junho, bots automatizados dispararam milhares de tentativas por segundo para adivinhar códigos TOTP antes da expiração, explorando o fato de que alguns tokens têm janelas de validade de até 90 segundos. A detecção automática funcionou, mas o bloqueio em massa gerou suspensões indevidas e confusão: e-mails com logotipo desatualizado minaram a credibilidade da comunicação, um erro crítico em resposta a incidente.
Menos de 20 contas tiveram tokens válidos gerados, permitindo o registro de novos dispositivos, mas sem acesso ao conteúdo dos cofres, pois a Senha Mestra não foi comprometida. Isso reforça um princípio técnico fundamental: a criptografia de extremo a extremo (E2EE) do Dashlane funciona como uma barreira física, não apenas lógica. O risco real está na fraqueza comportamental, phishing, senhas mestras fracas ou reutilizadas , , não na infraestrutura.
O que mudou
Na cobertura anterior do CEVIU sobre ataques via IA no Instagram (2 de junho), o vetor era social-engineering automatizado com falsificação de localização e exploração de fluxos de suporte. Aqui, o ataque é puramente técnico, sem interação humana: força bruta contra um protocolo de autenticação, com foco em latência e tempo de vida de token. Também há evolução operacional: enquanto a LA Metro sofreu roubo de 700GB de dados internos (27 de maio), o Dashlane não teve nenhum dado descriptografado ou exfiltrado, só tentativas frustradas de enrolar o sistema de registro.
Por que isso importa
Empresas que oferecem autenticação baseada em tokens de curta duração, especialmente em serviços sensíveis como gerenciadores de senhas, precisam repensar os limites de taxa (rate limiting) e a granularidade da detecção de comportamento anômalo. Um simples aumento no número de tentativas por IP não basta: o Dashlane agora adicionou verificação adicional no processo de registro de dispositivo, o que mostra que a defesa precisa ser adaptativa, não apenas reativa. Para usuários, o alerta é claro: 2FA não é proteção absoluta se a senha mestra for fraca ou reutilizada. E sim, o logotipo no e-mail de segurança importa, é o primeiro sinal de que a comunicação pode ser legítima ou não.
Linha do tempo
Ataque à LA Metro atribuído a hackers iranianos resulta em roubo de 700GB de dados
Início do ataque de força bruta contra o Dashlane para registrar novos dispositivos
Dashlane suspende contas temporariamente após detectar tentativas massivas de login da Coreia e Rússia
Perguntas frequentes
Meu cofre do Dashlane foi acessado?
Não. A Dashlane confirmou que menos de 20 contas tiveram tokens válidos gerados, mas os cofres permaneceram criptografados. Sem sua Senha Mestra, os dados são inacessíveis, mesmo com o cofre baixado. Nenhum dado foi descriptografado ou vazado.
O que devo fazer agora?
Verifique se sua Senha Mestra é única, longa e não reutilizada em outros serviços. Ative a autenticação de dois fatores (2FA) com app autenticador, não SMS. Revise os dispositivos registrados no Dashlane e remova os desconhecidos. Ignore e-mails suspeitos com logotipos desatualizados.
Esse ataque afeta outros gerenciadores de senhas?
Depende da arquitetura. Serviços que usam tokens TOTP com janelas amplas de validade e pouca proteção contra repetição de tentativas estão vulneráveis ao mesmo padrão. Gerenciadores com verificação de comportamento (como Bitwarden com 2FA obrigatório para novos dispositivos) ou uso de WebAuthn reduzem significativamente esse risco.
Por que o Dashlane usou um logotipo antigo nos e-mails?
A empresa não esclareceu oficialmente, mas fontes próximas indicam que o template de notificação de segurança não foi atualizado desde 2024. Isso prejudicou a identificação imediata da mensagem como legítima, aumentando o risco de que usuários ignorassem o alerta ou caíssem em golpes de phishing subsequentes.
Links relacionados
Fontes
- theregister.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 02 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
