Hacker stehlen verschlüsselte Passwortmanager-Tresore: Warum die Logins der User trotzdem sicher sind

Ein bekannter Passwortmanager und dessen Nutzer:innen wurden von Cyberkriminellen attackiert. Die Angreifer:innen konnten dabei verschlüsselte Tresore mit Passwörtern und anderen sensiblen Daten stehlen. Warum sie damit nur einen Teilerfolg hatten.

Passwortmanager vereinfachen das Verwalten von Logins im Netz. Statt euch jedes Passwort samt E-Mail-Adresse selbst zu merken, müsst ihr euch nur ein Master-Passwort zu eurem digitalen Tresor merken, in dem alle Logins gespeichert werden. Doch was passiert, wenn ausgerechnet dieser Tresor von Cyberkriminellen entwendet wird? Das zeigt jetzt ein Vorfall rund um den Passwortmanager Dashlane.

Wie das Unternehmen selbst in einem Blog-Post schreibt, haben Cyberkriminelle einen Brute-Force-Angriff auf die Systeme von Dashlane durchgeführt. Dabei haben sie sich das Dashlane-Feature zunutze gemacht, mit dem User:innen neue Geräte zu ihrem Account hinzufügen können. Sobald ein:e User:in ein neues Gerät hinzufügen will, erhält er oder sie dafür einen sechsstelligen Verifizierungscode an eine verknüpfte Mail-Adresse oder an eine 2FA-App. Der Code ist dabei drei Stunden gültig.

Wird der Code schließlich eingegeben, wird eine Kopie des verschlüsselten Passworttresors an das neue Gerät gesendet. Die Angreifer:innen hatten keinerlei Zugriff auf die 2FA-Apps oder die Mail-Postfächer der Dashlane-User:innen. Stattdessen haben sie unzählige Anfragen an die API-Endpunkte von Dashlane geschickt, die für die Registrierung neuer Geräte genutzt werden. Im Anschluss haben sie die Zeit, in der der Code gültig war, genutzt, um ihn per Brute-Force von einem Programm erraten zu lassen.