Dashlane, אפליקציית מנהל הסיסמאות, אומרת שאירוע סייבר בסוף שבוע הסתיים בגניבה של לפחות תריסר כספות מוצפנות של לקוחות. כן, אותן “כספות” שמחזיקות סיסמאות ופרטי גישה רגישים, ומטרתן היא להפוך את חיינו הדיגיטליים לפחות כאוטיים. אבל גם כשיש הצפנה, עדיין צריך שהדלת הראשית תהיה באמת נעולה.

לפי החברה, התוקפים הצליחו לעבור את מנגנון האימות הדו-שלבי שלה. זה מנגנון אבטחה שנועד למנוע מצב שבו מי שלוקח שם משתמש וסיסמה יוכל להיכנס לחשבון. בדרך כלל, גם אחרי שמישהו יודע את הפרטים הבסיסיים, הוא צריך להזין קוד נוסף שנשלח למכשיר של בעל החשבון. במקרה הזה, Dashlane טוענת שההאקרים “ברוטפורס” את מערכת ה-2FA שלה, כלומר ניסו שוב ושוב שילובים שונים עד שמצאו את הדרך הנכונה.

התוצאה: גישה לכ-20 חשבונות לקוח. אחרי ש”ניצחו” את מנגנון האימות, האקרים הצליחו להוריד עותקים של כספות מוצפנות מסוימות. חשוב: Dashlane מדגישה שאין אינדיקציה לכך שמערכות החברה עצמן נפגעו. כלומר, זה לא סיפור שבו הם פרצו לתוך התשתית של החברה ו”קראו” הכול שם. במקום זה, נראה שהבעיה הייתה בדרך שבה הגישה לחשבונות אפשרה יצוא של הכספות.

מה בעצם אומר “ברוטפורס” על 2FA?
Dashlane מסבירה שהמטרה של ההתקפה הייתה לעקוף את הגנות ה-2FA כדי לאפשר לתוקף לרשום מכשירים חדשים בתוך חשבונות קיימים. איך מנסים? עם תוכנה אוטומטית שמכניסה למערכת במהירות כל שילוב מספרי אפשרי, בתקווה לנחש את הרצף הנכון לפני שהקוד הדו-שלבי שפג תוקפו מהר מתבטל.

החברה אומרת שהיא כבר “ביצעה צעדים להפחתת הסיכון לאירועים עתידיים”, אבל לא מפרטת אילו שינויים בוצעו או מתי. זה החלק שבו כולם רוצים תשובה ברורה, כי “צעדים” זה משפט יפה, אבל השטן נמצא בפרטים.

האם הכספות באמת ניתנות לקריאה?
לפי Dashlane, הכספות שנגנבו מוצפנות ומפוענחות רק עם סיסמת המאסטר של הלקוח. סיסמת מאסטר כזו ידועה רק ללקוח ולא מועלת ל-Dashlane בטקסט רגיל. כלומר, גם אם ההאקרים השיגו את קובץ הכספת המוצפן, עדיין לא אמור להיות להם מפתח אמיתי לפענוח.

אבל כאן מגיע הטוויסט: החברה מזהירה שלקוחות שבחרו בסיסמת מאסטר שקל לנחש עשויים להיות בסיכון גבוה יותר. כי אם המפתח קל מדי, אפשר לנסות לנחש אותו ואז לפענח את הכספת. במילים פשוטות: ההצפנה חזקה כל עוד המפתח לא טיפשי.

מי נפגע ואיך? עדיין לא ברור
Dashlane טוענת שהיא יצרה קשר עם כ-20 הלקוחות שכספותיהם המוצפנות נגנבו. עדיין לא ברור אם המיקוד היה אקראי או מכוון: למשל לפי סוג המשתמש, פרופיל, או משהו אחר.

בנוסף, החברה לא מסרה אם היא יודעת מי ביצע את ההתקפה או אם היו דרישות כמו כופר. ובמקרים כאלה, הרבה פעמים השאלה היא לא רק “מה נגנב”, אלא גם “מה ביקשו בתמורה” ומתי.
היסטוריה לא מעודדת: מנהלי סיסמאות זה שדה מוקשים
פריצות למערכות שמנהלות סיסמאות הן נדירות יחסית, אבל כשהן קורות, ההשפעה יכולה להימשך זמן רב. ב-2022 LastPass אישרה שבמהלך מתקפת סייבר נגנבו גיבויים של כספות סיסמאות. שם, למרות שהכול היה מוגן בסיסמאות שהמשתמשים ידעו בלבד, דרישות האבטחה ללקוחות מוקדמים היו חלשות יותר מהסטנדרט המאוחר, מה שאפשר פריצה דרך ניחוש סיסמאות בחלק מהמקרים.
ובמישור אחר, היו גם דיווחים על גניבות בהיקפים גדולים של קריפטו, ככל הנראה דרך מפתחות פרטיים שנשמרו בכספות LastPass שנפרצו, אחרי שהמאסטר נשבר בעקבות הפריצה.
בקיצור: Dashlane טוענת שזה היה עקיפה של 2FA ולא חדירה מלאה למערכות שלה. אבל גם אם זה “רק” כספות מוצפנות, בעולם האמיתי הסיפור מסתיים בשאלה אחת: האם סיסמת המאסטר שלכם קשה באמת לניחוש. אם היא לא, אתם לא רק משתמשים במנהל סיסמאות. אתם גם נותנים לו מפתח למנעול.